“当菜单选择变恶意:揭露Zomato小部件中的XSS漏洞”
安全研究员pr0tagon1st在探索热门餐厅发现平台Zomato的数字基础设施时,偶然发现了一个令人担忧的问题。该平台的两个用于在其他网站嵌入餐厅集合的小部件端点,随意地回显了用户输入。一个看似无害的URL参数,竟成了攻击者向受信任的Zomato域名注入恶意脚本的直接通道。
这并非核心网站本身的缺陷,而是出在支持性基础设施上——这提醒我们,攻击者通常会瞄准系统中防御最薄弱的部分。让我们深入剖析这一发现,以理解在处理URL数据时的一个简单疏忽,如何为跨站脚本(XSS)——这一网络世界最持久威胁之一——打开了大门。
小部件攻击剖析
该漏洞存在于两个小部件端点:all_collections.php和o2.php。这些是供外部网站用于展示Zomato内容的辅助脚本。
研究员发现,这些脚本中的city_id和language_id参数未正确过滤或编码HTML与JavaScript输入。攻击者可以精心构造一个恶意URL,如下例所示,其中city_id...FINISHED
CSD0tFqvECLokhw9aBeRqvYTD3cAv2GUNlJNRecGo+KbWdWu6QgHepX121n3z1gpAJIuaMsMW0u7R2AAQgh3b81bzeYGPjd3CIPvYVzXNDV6lnNJEeUQO3xUPCinGPZyYm3dnwyhVW+i1n80hdcnFQQzYLFuuCA+7X5+3HnAsQU=
