TikTok แพตช์อุดช่องโหว่ XSS เพียงคลิกเดียวเข้ายึดบัญชีได้

TikTok ได้มอบรางวัลแก่ผู้ค้นพบช่องโหว่ XSS ผ่านแพลฟอตร์มหาบั๊กอย่าง HackerOne โดยร้ายแรงถึงขนาดว่าเหยื่อคลิกทีเดียวก็ถูกยึดบัญชีได้

credit : tiktok.com

ช่องโหว่มี 2 ส่วนคือ

  • ช่องโหว่ Cross-site Scripting (XSS) ในส่วนพารามิเตอร์ของ tiktok.com ซึ่งนำไปสู่การลอบรันโค้ดใน Browser Session ของเหยื่อได้
  • ช่องโหว่ Cross-Site Request Forgery (CSRF) พบบน Endpoint ที่หลอกให้เหยื่อทำการบางอย่างแทนได้

ด้วยเหตุนี้เอง Muhammed Taskiran หรือผู้ค้นพบช่องโหว่จึงได้สร้างสคิร์ปต์ผสานเอา 2 ช่องโหว่ไปใช้งาน CSRF พร้อมกับ inject ผ่านทางพารามิเตอร์ ซึ่งผลปรากฎว่าสามารถเข้ายึดบัญชีเหยื่อได้ทันทีเพียงคลิกเดียว และท้ายที่สุด tiktok ได้มอบผลตอบแทนไปราว 3,860 ดอลล่าร์สหรัฐฯ แล้ว รวมถึงอัปเดตแพตช์ไปตั้งแต่ปลายเดือนกันยายนที่ผ่านมา

ที่มา : https://www.zdnet.com/article/tiktok-patches-reflected-xss-bug-one-click-account-takeover-exploit/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Video Webinar] สร้าง Data Security & Control บนระบบ Multi-Cloud อย่างไรให้มั่นคงปลอดภัย

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย Entrust Webinar เรื่อง “สร้าง Data Security & Control บนระบบ Multi-Cloud อย่างไรให้มั่นคงปลอดภัย” ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง สามารถเข้าชมวิดีโอบันทึกย้อนหลังได้ที่บทความนี้ครับ

Application Experience คือจุดสูงสุด ตราบเท่าที่มีความมั่นคงปลอดภัย

ปัจจุบันนี้ ความต่อเนื่องของธุรกิจขึ้นกับว่าแอปพลิเคชันพร้อมใช้งานหรือไม่เป็นสำคัญ ซึ่งเป็นสิ่งที่ทั้งพนักงานและลูกค้าต่างเป็นกังวลไม่ต่างกัน ฝ่าย IT ถูกกดดันให้จัดเตรียมแอปพลิเคชันที่มีทั้ง Experience และ Security ที่ดี แต่ความซับซ้อนด้านโครงสร้างพื้นฐานที่เพิ่มขึ้น ณ Edge และ Cloud กลับสร้างภาระเพิ่มเติมให้แก่ผู้ดูแลระบบ ที่ต้องคอยจัดหาเครื่องมือและเทคโนโลยีมาสร้างสมดุลย์ให้แก่แอปพลิเคชันโดยไม่ให้ส่งผลกระทบต่อความมั่นคงปลอดภัย