本周一在2020黑帽大會(huì)上，Checkmarx安全研究人員曝光了流行線下聚會(huì)應(yīng)用Meetup的兩個(gè)高風(fēng)險(xiǎn)漏洞，第一個(gè)漏洞使得攻擊者可以輕松地接管任何Meetup群組，訪問(wèn)所有群組功能和資產(chǎn)，第二個(gè)漏洞則讓攻擊者可以重定向所有Meetup付款/金融交易到他們的PayPal賬戶(一些Meetup聚會(huì)活動(dòng)是免費(fèi)的，但有些則不是)。

[[336437]]

Checkmarx安全研究人員在Meetup的Web應(yīng)用程序中尋找API安全問(wèn)題，除了上述兩個(gè)破壞隱私的API漏洞，研究人員還發(fā)現(xiàn)了：

·已存儲(chǔ)的XSS會(huì)影響Meetup討論(并且默認(rèn)情況下，所有Meetup中都啟用了討論功能);

·表單中的CSRF錯(cuò)誤，用于在“設(shè)置”>“已收到的付款”中更改PayPal收件人的電子郵件地址。

通過(guò)向Meetup API發(fā)送包含惡意JavaScript的請(qǐng)求，可以利用這兩種方法，并且在兩種情況下，腳本都不會(huì)在討論中顯示(即，攻擊者在討論中的答復(fù)將顯示為空)。

通過(guò)將XSS和CSRF漏洞組合在一起，攻擊者可以竊取組織者的cookie，把自己的狀態(tài)更改為Meetup組的聯(lián)合組織者，這意味著他們可以訪問(wèn)成員的詳細(xì)信息、聯(lián)系所有成員、編輯組設(shè)置、創(chuàng)建事件等等。

攻擊者還可以更改存儲(chǔ)在Meetup->Manage Money中的PayPal賬戶電子郵件地址，從而將所有付款定向到攻擊者的地址。

當(dāng)然，原始組織者可以在檢查設(shè)置時(shí)注意到他們進(jìn)行了更改，但是由于他們不會(huì)收到有關(guān)此設(shè)置的通知，因此可能在數(shù)小時(shí)或數(shù)天之內(nèi)都不會(huì)被注意。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文