DOM-XSS kļūda, kas ietekmē tinteri, Shopify, Yelp un citas

Mūsu drošības pētnieku komanda pētīja iepazīšanās lietotņu klienta puses drošību, un viens no galvenajiem darbības mērķiem bija Tinder.

Pēc sākotnējās izlūkošanas darbības tika atrasts Tinder domēns ar vairākām klienta puses drošības problēmām – tas nozīmē hakeriem varētu būt piekļuve lietotāju profiliem un informācijai.

Tūlīt pēc šo ievainojamību atrašanas mēs sazinājāmies ar Tinder, izmantojot viņu atbildīgo informācijas atklāšanas programmu, un sākām ar tiem strādāt.

Mēs uzzinājām, ka neaizsargātais galapunkts nepieder Tinder, bet gan filiālei branch.io, atribūtu platformai, ko izmanto daudzas lielas korporācijas visā pasaulē. Tinder drošības komanda mums palīdzēja sazināties ar viņiem, un attiecīgi viņi ir savlaicīgi izlikuši ielāpu.

Padziļināti izpētot, mēs uzzinājām, ka daudzas lielas vietnes kopīgoja neaizsargāto galapunktu kodā un domēnos, ieskaitot Shopify, Yelp, Western Union un Imgur. Tas nozīmē, ka 685 miljoni lietotāju varētu būt apdraudēti.

Lai gan kļūda jau ir novērsta, ja nesen izmantojāt Tinder vai kādu citu skarto vietni, ieteicams pārbaudīt, lai pārliecinātos, ka jūsu konts nav ticis apdraudēts. Ieteicams mainīt paroli ASAP.

Sīkāka informācija:

Uz DOM balstīta XSS ievainojamība, kas pazīstama arī kā “0 tipa XSS”, ir vietņu skriptu ievainojamības klase, kas parādās DOM. Tas ir uzbrukuma veids, kurā uzbrukuma lietderīgā slodze tiek izpildīta DOM vides modificēšanas rezultātā upura pārlūkprogrammā, it īpaši dinamiskā vidē. DOM balstītā XSS HTML avota kods un uzbrukuma reakcija būs tieši tāda pati. Tas nozīmē, ka atbildē nav atrodama ļaunprātīga krava, tāpēc pārlūkprogrammā iebūvētajām XSS mazināšanas funkcijām, piemēram, Chrome XSS auditorim, ir ļoti grūti veikt.

Vai varat pamanīt ievainojamības??

kods

Fakts, ka ievainojamība ir balstīta uz DPM un branch.io joprojām neizmanto CSP, padarīja šīs ievainojamības viegli izmantojamās jebkurā pārlūkā, kas mums patīk.

  Kā padarīt Chrome Incognito patiešām privātu 2023. gadā

Tas nozīmēja, ka, mainot novirzīšanas stratēģiju uz īpaši izveidotu kravas, lai manipulētu ar DOM.

1. DOM XSS

Piemēram, mūsu sākotnējais atradums bija galarezultāts, https://go.tinder.com/amp-iframe-redirect bija pakļauts vairākām ievainojamībām (sche_redirect & redirect_strategy GET parametri kontrolē div saturu).

no iepriekš norādītā koda redirect_strategy ir “INJECTIONA” un sche_redirect ir “INJECTIONB”..

Tas nozīmēja, ka, modificējot redirect_strategy uz dom-xss derīgo slodzi, bija iespējams jebkurā pārlūkprogrammā izpildīt klienta puses kodu Tinder domēna kontekstā:
https://go.tinder.com/amp-iframe-redirect?scheme_redirect=http://google.com&redirect_strategy = 1)% 7B% 0Aalert (1)% 3B //
parādīs DOM kā:

ja (1) {trauksmes signāls (1); // && “INJECTIONA”) {

var parsētājs = document.createElement (‘a’);

parsētājs.hrefs = “INJEKCIJA”;

var protokols = parser.protocol.toLowerCase ();

kļūdu ekrānuzņēmums

2. validētProtocol () un validēt () apiet

Ņemiet vērā arī to, kā validteProtocol () izmanto indexOf, lai pārbaudītu shēmas – ar indexOf () metodi tiek parādīta pozīcija, kurā virknē tiek parādīta noteikta vērtība. Šī metode atgriež -1, ja meklējamā vērtība nekad nenotiek. Tomēr to var pievilināt, izmantojot javascript: //% 0aalert (0) //good.com/https:// – abas apstiprināšanas funkcijas var apiet, jo indexOf atradīs “https: //”

var parsētājs = document.createElement (‘a’);

parsētājs.hrefs = URL;

var protokols = parser.protocol.toLowerCase ();

if ((‘javascript:’, ‘vbscript:’, ‘data:’). indexOf (protokols) < 0) {

atgriezties URL;

}

….

atgriezt null;

ja ([‘Http:’, ‘https:’]. IndexOf (protokols) < 0) {

window.top.location = apstiprināt (“http://google.com”);

}

Tātad, kā šī kļūda ietekmēja vairāk nekā Tinder?

go.tinder.com ir vietne custom.bnc.lt, kas ir Branch.io resurss. Un daudziem citiem uzņēmumiem to aizstājvārdi norāda uz to.

Nosaucam dažas vietnes, kuras ietekmē šī ievainojamība: RobinHood, Shopify, Canva, Yelp, Western Union, Letgo, Cuvva, imgur, Lookout, fair.com un citas.

Pateicoties ātrai reakcijai, ko saņēmām no filiāles drošības komandas, šī ievainojamība tagad ir novērsta visiem domēniem.

  Kāpēc intelekts ir jūsu zīmola nodrošināšanas atslēga

Citi jaunākie mūsu pētījumi:

Vai Panamā bāzētais NordVPN faktiski ir amerikāņu uzņēmums ar nosaukumu CloudVPN?

Kritiskā RCE ievainojamība atrasta vairāk nekā miljonā GPON mājas maršrutētāju