印度的Koo，一个类似Twitter的服务，被发现容易受到严重的蠕虫攻击

印度土生土长的Twitter克隆人Koo最近修补了一个严重的安全漏洞，该漏洞可能被用来对数十万用户执行任意JavaScript代码，从而在整个平台上传播攻击。

该漏洞涉及Koo的web应用程序中存储的跨站点脚本漏洞（也称为持久XSS），该漏洞允许将恶意脚本直接嵌入受影响的web应用程序中。

为了实施攻击，恶意参与者所要做的就是通过web应用程序登录到该服务，并将XSS编码的有效负载发布到其时间轴上，该时间轴会自动代表看到该帖子的所有用户执行。

The issue was discovered by security researcher Rahul Kankrale in July, following which a fix was rolled out by Koo on July 3.

通过使用跨站点脚本，攻击者可以代表与用户具有相同权限的用户执行操作，并窃取web浏览器的机密，例如身份验证cookie。

由于恶意JavaScript可以访问网站可以访问的所有对象，因此它可能允许对手潜入敏感数据，如私人消息，或传播错误信息，或使用用户配置文件显示垃圾邮件。

Koo中的这个漏洞（也称为XSS蠕虫）的最终结果更令人担忧，因为它会自动在网站访问者之间传播恶意代码，从而感染其他用户—；没有任何用户交互，就像连锁反应。

2019年11月推出的古天乐自称是Twitter的印度替代品，其平台上拥有600万活跃用户。在尼日利亚无限期禁止Twitter删除尼日利亚总统穆罕默德·布哈里（Muhammadu Buhari）的推文后，这家总部位于班加罗尔的公司也成为尼日利亚首选的社交媒体服务。

Koo的联合创始人兼首席执行官阿普拉米娅·拉德哈克里希纳（Aprameya Radhakrishna）本周早些时候宣布，该应用将进入尼日利亚市场。

还修补了一个与hashtag功能相关的反映XSS漏洞，从而允许对手在用于搜索特定hashtag的端点中传递恶意JavaScript代码（“https://wwwkooappcom/tag/[hashtag]”）。

此前，Koo应用程序中的另一个关键漏洞已于今年2月早些时候修复，该漏洞可能允许攻击者在不需要密码或用户交互的情况下访问平台上的任何用户帐户。

它是由独立安全研究员普拉松·古普塔发现的。在接受《黑客新闻》（Hacker News）采访时，Prason解释说，该漏洞是由于当用户通过电话号码和发送给它的一次性密码（OTP）进行身份验证时，应用程序验证访问令牌的方式造成的。

一个多月前，微软的Edge浏览器中发现了类似的XSS相关漏洞，只要在YouTube视频中添加评论或从包含非英语内容并附带XSS负载的帐户发送Facebook好友请求，就可以利用该漏洞触发攻击。