Интеграция
Цифровая трансформация в нестабильное время — пять полезных лайфхаков
Бизнес
Российский бизнес активно движется по пути цифровой трансформации
ИТ-бизнес
Обзор МФУ Sharp MX-2651EU: обновленная линейка

CNews Аналитика Конференции Маркет Техника ТВ

Спецпроекты

Безопасность Пользователю Техника
|

Два «детских» бага в TikTok позволяли красть аккаунты в один клик

В сентябре 2020 г. TikTok устранил две критические уязвимости в своих ресурсах, комбинация из которых позволяла перехватывать контроль над чужими аккаунтами с минимумом усилий.

XSS плюс CSRF

В TikTok обезврежена опасная уязвимость, допускавшая захват чужого аккаунта «в один клик», сообщает Bleeping Computer. Уязвимость обнаружил проживающий в Германии эксперт по поиску багов Мухаммед Таскиран (Muhammed Taskiran). По его сведениям, TikTok был беззащитен перед атаками межсайтового скриптинга, а конкретнее неперсистентного XSS.

Такая уязвимость возникает, когда веб-приложение не производит проверку пользовательского ввода и немедленно исполняет его команды. Злоумышленник таким образом имеет возможность внедрить произвольный код на пользовательской стороне.

Таскиран обнаружил баги при fuzz-тестировании доменов tiktok.com и m.tiktok.com. Кроме того, он обнаружил еще один баг разновидности CSRF (межсайтовая подделка запросов), который позволял изменять пароли к аккаунтам пользователей, использующих сторонние приложения для входа в сервис.

Комбо-два

Комбинация из двух уязвимостей позволяла захватывать чужие аккаунты с минимальными усилиями. «Я скомбинировал обе уязвимости с помощью короткого вредоноса на JavaScript, который запускает CSRF-атаку, и внедрил его в уязвимый URL-параметр, тем самым добившись захвата аккаунта в один клик», — отметил исследователь.

tik600.jpg
Аккаунты в TikTok можно было захватывать, использовав сочетание двух уязвимостей

Проинформировав TikTok о проблеме, Таскиран получил награду в размере $3860. Уязвимость была устранена еще в сентябре 2020 г.

«XSS- и CSRF-уязвимости весьма распространены; время от времени их находят в веб-приложениях даже самых крупных компаний, — указывает Алексей Водясов, технический директор компании SEC Consult Services. — Однако в большинстве случаев это, что называется, “зевки” — результат использования малонадежного стороннего кода или простая забывчивость программистов. К сожалению, она может обходиться довольно дорого. И хорошо, если баг находят этические хакеры — вознаграждение им обойдется на несколько порядков дешевле, чем устранение последствий реальной атаки. К тому же механизмы защиты от этих уязвимостей давно известны».

Роман Георгиев

Короткая ссылка


Другие материалы рубрики

Как автоматизировать учет персональных данных и избежать штрафов за их утечку

Создан идеальный гаджет для уничтожения секретных данных. Он превращает жесткие диски в груду мусора за считанные секунды

Управление основными данными: Российские продукты готовы заменить западные системы MDM

Yadro представила новую линейку систем резервного копирования

Облегченная миграция с Oracle: как осуществить переход на новую СУБД быстрей и проще

SIM-карту не купишь без биометрии. В России введут новые жесткие требования подключения к сотовым сетям. Кого это коснется

MARKET.CNEWS

Kubernetes

Рассчитать стоимость кластеров Kubernetes

От 0.52 руб./месяц

ERP

Подобрать тариф на IP-телефонию и виртуальную АТС

От 1 046 руб./месяц

Dedicated

Подобрать выделенный сервер

От 1499 руб./месяц

Email-рассылки

Выбор сервиса для почтовых рассылок

От 0.13 руб./месяц

Техника

Самые дорогие мониторы для профессиональной работы: выбор ZOOM

Обзор смартфона HUAWEI nova 12s: стильный и функциональный

Обзор обновленной линейки ноутбуков HONOR MagicBook X 2024: игра вдолгую

Показать еще

Наука

«Ангара А5» и другие самые интересные космические миссии в 2024 году

Обнаружен неизвестный объект в Млечном Пути — он тяжелее самых тяжелых нейтронных звезд и легче самых легких черных дыр

Обнаружены первые плотоядные животные на Земле — гигантские черви-хищники возрастом более полумиллиарда лет
Показать еще