Технологии

В TikTok обнаружили ворующие аккаунт в один клик баги

В TikTok независимый исследователь из Берлина под ником milly, обнаружил два бага, позволяющие воровать аккаунты пользователей всего в один клик. Первая уязвимость найдена в клиентском приложении, а вторая - на сайте самого сервиса.
В TikTok обнаружили ворующие аккаунт в один клик баги

Изображение взято с: Commons.wikimedia.org

Бреши были выявлены в рамках программы для поиска багов на платформе компании HackerOne, предназначенной для разоблачения уязвимостей. За их обнаружение немецкий исследователь milly получил денежное вознаграждение в размере 3 860 долларов. По словам эксперта, брешь возникла в TikTok из-за неправильной санации одного из параметров Uniform Resource Locator. В браузере опасный код выполняется при помощи XSS-атаки. Уровень опасности бага относится к высоким и оценивается по шкале CVSS в 8,2 балла.

В клиенте TikTok брешь относится к подделке межсайтовых запросов. При ее использовании задается новый пароль, допускающий вход через чужие приложения. В таком случае мошенник совершает действия от имени владельца.

Автор: Нина Лукашева
Добавление комментария
Кликните на изображение чтобы обновить код, если он неразборчив
Последние новости