据外媒报到,安全研究员近日披露,当下流行的线上会议服务、活动网站Meetup平台存在安全漏洞,允许黑客访问数百万成员的个人信息。
打开网易新闻 查看精彩图片
图片来源pexels
据悉, 黑客通过伪造跨站点脚本和跨站点请求获取管理员特权,注入恶意脚本至“讨论”页面,查看用户信息、重定向PayPal付款。该脚本对用户隐藏,黑客可将其与CSRF攻击结合使用,从而执行未经授权的命令。
打开网易新闻 查看精彩图片
图片来源pexels
值得注意的是,该漏洞可通过蠕虫传播,允许黑客在野外释放蠕虫,控制整个站点组织,并挪用资金。
截至目前,由于允许列表要求列出所有解决方法,因此专家建议用户使用允许列表来避免黑客攻击。
热门跟贴