其他
LinkedIn修复网站中的XSS漏洞
LinkedIn快速修复了研究人员于上周在公司官方“帮助中心”网站上发现的一个跨站点脚本漏洞。
研究员Rohit Dua发现攻击者嫩巩固将恶意代码注入LinkedIn“帮助中心”的“开始讨论”页面的“更多详情”字段。一旦攻击者公布了包含XSS有效负载的帖子,恶意代码就能在用户每次访问帖子时被执行,或者直接在LinkedIn的“帮助中心”或直接点击攻击者发送的链接就可执行。
Dua在一份安全公告中表示,LinkedIn的过滤器能阻止此类攻击活动,但他所识别的一个安全漏洞允许攻击者注入恶意代码。专家认为这个XSS漏洞能以目标用户的身份执行恶意行为。
安全专家在11月16日将该发现成果报告给LinkedIn,后者在三小时内就将其修复。这名专家公布了一份视频演示了漏洞的存在以及如何可被恶意攻击者利用的方式。
LinkedIn在HackerOne平台上拥有一个专门的漏洞奖励计划,建立于2014年10月。今年6月,公司称已为提交的65个安全漏洞支付了6.5万美元的奖励。