GitHub のコールバック URL が XSS 攻撃によって侵害され、不正な Web アプリケーションへのアクセスを許可するコンテンツ セキュリティ ポリシー (CSP) の脆弱性が露呈したと報告されています。
エラー ページには「AUTH」と表示され、エラー メッセージには元の文字ではなく「blahbla」が表示されました。
幸いなことに、攻撃者は CSP に違反しておらず、コードは復元されました。
ただし、その後、悪意のあるコードを実行するために使用されました。
CSP バイパスを使用した Oauth コールバック URL の XSS により、ゼロクリックでアカウントが乗っ取られる from infosecwriteups.com
security summaryGitHub のコールバック URL が XSS 攻撃によって侵害され、不正な Web アプリケーションへのアクセスを許可するコンテンツ セキュリティ ポリシー (CSP) の脆弱性が露呈したと報告されています。
エラー ページには「AUTH」と表示され、エラー メッセージには元の文字ではなく「blahbla」が表示されました。
幸いなことに、攻撃者は CSP に違反しておらず、コードは復元されました。
ただし、その後、悪意のあるコードを実行するために使用されました。
コメント