В сентябре 2020 г. TikTokустранил две критические уязвимости в своих ресурсах, комбинация из которыхпозволяла перехватывать контроль над чужими аккаунтами с минимумом усилий.
XSSплюс CSRFВ TikTok обезврежена опасная уязвимость, допускавшаязахват чужого аккаунта «в один клик», сообщает Bleeping Computer.
Уязвимость обнаружил проживающий в Германииэксперт по поиску багов МухаммедТаскиран (Muhammed Taskiran). По его сведениям, TikTok был беззащитен перед атаками межсайтовогоскриптинга, а конкретнее неперсистентного XSS.Такая уязвимость возникает,когда веб-приложение не производит проверку пользовательского ввода инемедленно исполняет его команды.
Читать на safe.cnews.ru