LinkedIn论坛发现xss漏洞,可被黑客利用传播xss蠕虫
一个持续的跨站点脚本(XSS)漏洞影响著名招聘网站LinkedIn,并且在报道的时候已经被修复。
印度的安全研究员Rohit DUA发现网站的漏洞并且在星期三披露充分披露了漏洞详情。
持久性XSS安全漏洞,称为跨站点脚本漏洞,其攻击者提供的恶意数据会在服务器上保存并永久显示在网页上,网站的正常用户访问一个“更具破坏性的变异”,它影响了LinkedIn的帮助论坛。
该漏洞存在于LinkedIn的帮助门户。利用该漏洞,用户必须登录,去LinkedIn帮助中心,然后开始讨论。在“提供更多的细节”标签,打开提出的问题,攻击者可以提交攻击代码,该代码在执行时,会自动使用受害者的账号把该含有攻击代码的问题是自动张贴到论坛上。
<iframe class="iframe_auto_size" src="http://player.youku.com/embed/XMTM5NjQ1NDM5Mg==" width="600" height="480" frameborder="0" allowfullscreen="allowfullscreen"></iframe>
如果利用这种漏洞,XSS蠕虫能够通过帮助论坛和执行的恶意代码进行传播。
对用户很高兴的事是:LinkedIn在Dua告诉公司他的发现后迅速修复了漏洞,在不到三个小时内修补好了。Dua在晚上11点的时候提交了漏洞,在15分钟内得到了答复,凌晨2点的时候,xss漏洞已经被修补。
LinkedIn发言人说没有用户数据受到影响,感谢Dua研究员他在保护用户的安全时所做的工作。
文章来源【360安全播报】
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/