在探索热门餐厅发现平台Zomato的数字基础设施时,安全研究员pr0tagon1st偶然发现了一个令人担忧的问题。
该平台的两个小部件端点(设计用于在其他网站上嵌入餐厅集合)不慎回显了用户输入。一个看似无害的URL参数,成为了攻击者向受信任的Zomato域名注入恶意脚本的直接管道。
这个问题并非出在核心网站上,而是在支持性基础设施中——这提醒我们,攻击者通常会瞄准系统防御最薄弱的部分。让我们剖析这一发现,以理解在处理URL数据时的一个简单疏忽,如何为跨站脚本(XSS)——这一网络上最持久的威胁之一——打开大门。
小部件攻击剖析
漏洞存在于两个小部件端点中:all_collections.php 和 o2.php。这些是外部网站用来显示Zomato内容的辅助脚本。
研究员发现,这些脚本中的 city_id 和 language_id 参数未能正确过滤或编码HTML和JavaScript输入。攻击者可以构造一个像下面这样的恶意URL,其中 city_id……FINISHED
CSD0tFqvECLokhw9aBeRqvYTD3cAv2GUNlJNRecGo+KbWdWu6QgHepX121n3z1gpAJIuaMsMW0u7R2AAQgh3b81bzeYGPjd3CIPvYVzXNDV6lnNJEeUQO3xUPCinGPZyYm3dnwyhVW+i1n80hdcnFQQzYLFuuCA+7X5+3HnAsQU=
