悪意のあるファイルが、ワークスペース所有者のメインアプリケーションドメインにホストされている「dust.tx」にアップロードされました。
攻撃者はワークスペースへのアクセスに1人のユーザー権限のみを使用し、複雑なコードやパスワードの盗難は必要ありませんでした。
この攻撃により、攻撃者は管理者の認証情報を盗み、許可なく機密データにアクセスすることができました。
ただし、攻撃者はセッションcookie.yspaceを使用していませんでした。
画像のアップロードからワークスペースの乗っ取りまで:重大なストアドXSS攻撃の分析 from infosecwriteups.com
security summary悪意のあるファイルが、ワークスペース所有者のメインアプリケーションドメインにホストされている「dust.tx」にアップロードされました。
攻撃者はワークスペースへのアクセスに1人のユーザー権限のみを使用し、複雑なコードやパスワードの盗難は必要ありませんでした。
この攻撃により、攻撃者は管理者の認証情報を盗み、許可なく機密データにアクセスすることができました。
ただし、攻撃者はセッションcookie.yspaceを使用していませんでした。
コメント