CSP バイパスを使用した Oauth コールバック URL の XSS により、ゼロクリックでアカウントが乗っ取られる from infosecwriteups.com security summary Twitter Facebook はてブ Pocket LINE コピー 2023.10.30 infosecwriteups.comXSS on the Oauth callback URL with CSP bypass leading to zero-click account takeover - infosecwriteups.com GitHub のコールバック URL が XSS 攻撃によって侵害され、不正な Web アプリケーションへのアクセスを許可するコンテンツ セキュリティ ポリシー (CSP) の脆弱性が露呈したと報告されています。 エラー ページには「AUTH」と表示され、エラー メッセージには元の文字ではなく「blahbla」が表示されました。 幸いなことに、攻撃者は CSP に違反しておらず、コードは復元されました。 ただし、その後、悪意のあるコードを実行するために使用されました。
コメント