TikTok telah menambal cacat keamanan reflected XSS dan bug yang menyebabkan pengambilalihan akun yang memengaruhi domain web perusahaan.
Dilaporkan melalui platform bug bounty HackerOne oleh peneliti Muhammed “milly” Taskiran, kerentanan pertama terkait dengan parameter URL di domain tiktok.com yang tidak dibersihkan dengan benar.
Peneliti bug bounty menemukan bahwa masalah ini dapat dieksploitasi untuk mencapai reflected cross-site scripting (XSS), yang berpotensi mengarah ke eksekusi kode berbahaya di sesi browser pengguna.
Selain itu, Taskiran menemukan endpoint yang rentan terhadap Cross-Site Request Forgery (CSRF), serangan di mana pelaku ancaman dapat menipu pengguna untuk mengirimkan tindakan atas nama mereka ke aplikasi web sebagai pengguna tepercaya.
“Endpoint memungkinkan saya menyetel kata sandi baru pada akun yang telah menggunakan aplikasi pihak ketiga untuk mendaftar,” kata pemburu bug itu.
Taskiran dianugerahi hadiah bug bounty sebesar $ 3.860.
Sumber: ZDNet
