黑帽大会Web安全热点Meetup曝出两种高危漏洞

发布时间：2021-11-03 16:39 所属栏目：53 来源：互联网

导读：2020黑帽大会上，Checkmarx安全研究人员曝光了流行线下聚会应用Meetup的两个高风险漏洞，第一个漏洞使得攻击者可以轻松地接管任何Meetup群组，访问所有群组功能和资产，第二个漏洞则让攻击者可以重定向所有Meetup付款/金融交易到他们的PayPal账户(一些Meetup

　2020黑帽大会上，Checkmarx安全研究人员曝光了流行线下聚会应用Meetup的两个高风险漏洞，第一个漏洞使得攻击者可以轻松地接管任何Meetup群组，访问所有群组功能和资产，第二个漏洞则让攻击者可以重定向所有Meetup付款/金融交易到他们的PayPal账户(一些Meetup聚会活动是免费的，但有些则不是)。

　　Checkmarx安全研究人员在Meetup的Web应用程序中寻找API安全问题，除了上述两个破坏隐私的API漏洞，研究人员还发现了：

　　·已存储的XSS会影响Meetup讨论(并且默认情况下，所有Meetup中都启用了讨论功能);

　　·表单中的CSRF错误，用于在“设置”>“已收到的付款”中更改PayPal收件人的电子邮件地址。

（编辑：ASP站长网）