TikTok แพตช์อุดช่องโหว่ XSS เพียงคลิกเดียวเข้ายึดบัญชีได้

TikTok ได้มอบรางวัลแก่ผู้ค้นพบช่องโหว่ XSS ผ่านแพลฟอตร์มหาบั๊กอย่าง HackerOne โดยร้ายแรงถึงขนาดว่าเหยื่อคลิกทีเดียวก็ถูกยึดบัญชีได้

credit : tiktok.com

ช่องโหว่มี 2 ส่วนคือ

  • ช่องโหว่ Cross-site Scripting (XSS) ในส่วนพารามิเตอร์ของ tiktok.com ซึ่งนำไปสู่การลอบรันโค้ดใน Browser Session ของเหยื่อได้
  • ช่องโหว่ Cross-Site Request Forgery (CSRF) พบบน Endpoint ที่หลอกให้เหยื่อทำการบางอย่างแทนได้

ด้วยเหตุนี้เอง Muhammed Taskiran หรือผู้ค้นพบช่องโหว่จึงได้สร้างสคิร์ปต์ผสานเอา 2 ช่องโหว่ไปใช้งาน CSRF พร้อมกับ inject ผ่านทางพารามิเตอร์ ซึ่งผลปรากฎว่าสามารถเข้ายึดบัญชีเหยื่อได้ทันทีเพียงคลิกเดียว และท้ายที่สุด tiktok ได้มอบผลตอบแทนไปราว 3,860 ดอลล่าร์สหรัฐฯ แล้ว รวมถึงอัปเดตแพตช์ไปตั้งแต่ปลายเดือนกันยายนที่ผ่านมา

ที่มา : https://www.zdnet.com/article/tiktok-patches-reflected-xss-bug-one-click-account-takeover-exploit/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ผู้เชี่ยวชาญเตือนพบช่องโหว่ Zero-day กระทบผู้ใช้ Zyxel หลายรุ่น เสี่ยงต่อการถูกโจมตี

มีการค้นพบช่องโหว่ Zero-day ในผลิตภัณฑ์ Zyxel หลายรุ่น ซึ่งพบการโจมตีจริงแล้ว แแต่ที่ผู้เชี่ยวชาญแสดงความเป็นห่วงงเพราะทาง Vendor ยืนยันว่าผลิตภัณฑ์เหล่านั้นหมดอายุไปแล้วและจะไม่มีการแพตช์ ทำให้ผู้ใช้งานอาจเป็นเป้านิ่งสำหรับ Botnet หรือ การโจมตีทางไซเบอร์

CISA พบบั๊ก Microsoft Outlook เพื่อโจมตี RCE ระบาดหนัก แนะเร่งอัปเดต

CISA ได้แจ้งเตือนหน่วยงานรัฐบาลกลางสหรัฐเพื่อให้ป้องกันระบบไอทีจากช่องโหว่ภายใน Microsoft Outlook ที่พบตั้งแต่ปีที่แล้วซึ่งอาจนำไปสู่การโจมตี Remote Code Execution (RCE) ได้นั้นกำลังระบาดหนัก แนะนำให้เร่งอัปเดตโดยเร่งด่วน