菜单选项如何变恶意?揭秘Zomato小部件中的XSS漏洞 📅 发布时间:2026/7/5 20:56:37 👁️ 浏览次数: “当菜单选择变恶意揭露Zomato小部件中的XSS漏洞”在探索热门餐厅发现平台Zomato的数字基础设施时安全研究员pr0tagon1st偶然发现了一个令人担忧的问题。该平台的两个小部件端点旨在将餐厅集合嵌入其他网站疏忽地回显了用户输入。一个看似无害的URL参数成为了攻击者向受信任的Zomato域注入恶意脚本的直接通道。点击查看完整图片这个漏洞并非存在于核心网站而是在支持性基础设施中——这提醒我们攻击者常常瞄准系统防御最薄弱的部分。让我们剖析这个发现以理解处理URL数据时的一个简单疏忽如何为跨站脚本攻击打开大门而XSS是网络中最持久的威胁之一。小部件攻击剖析漏洞存在于两个小部件端点all_collections.php和o2.php。这些是外部网站可以用来显示Zomato内容的辅助脚本。研究人员发现这些脚本中的city_id和language_id参数没有正确过滤或编码HTML和JavaScript输入。攻击者可以制作一个恶意的URL如下所示其中city_id参数包含了恶意脚本…FINISHEDCSD0tFqvECLokhw9aBeRqvYTD3cAv2GUNlJNRecGoKbWdWu6QgHepX121n3z1gpAJIuaMsMW0u7R2AAQgh3b81bzeYGPjd3CIPvYVzXNDV6lnNJEeUQO3xUPCinGPZyYm3dnwyhVWi1n80hdcnFQQzYLFuuCA7X53HnAsQU更多精彩内容 请关注我的个人公众号 公众号办公AI智能小助手对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号网络安全技术点滴分享
PHP毕设选题推荐:基于php+vue的校园跳蚤市场平台的设计与实现基于PHP的校园跳蚤市场交易商城平台系统【附源码、mysql、文档、调试+代码讲解+全bao等】 博主介绍:✌️码农一枚 ,专注于大学生项目实战开发、讲解和毕业🚢文撰写修改等。全栈领域优质创作者,博客之星、掘金/华为云/阿里云/InfoQ等平台优质作者、专注于Java、小程序技术领域和毕业项目实战 ✌️技术范围:&am… 2026/7/5 20:55:11
计算机PHP校园二手物品交易系统毕设实战-基于php+vue的校园跳蚤市场平台的设计与实现【完整源码+LW+部署说明+演示视频,全bao一条龙等】 博主介绍:✌️码农一枚 ,专注于大学生项目实战开发、讲解和毕业🚢文撰写修改等。全栈领域优质创作者,博客之星、掘金/华为云/阿里云/InfoQ等平台优质作者、专注于Java、小程序技术领域和毕业项目实战 ✌️技术范围:&am… 2026/5/17 2:10:52
ArcGIS Pro 从入门到实战基础篇(22):新建笔记本 在 ArcGIS Pro 中,除了通过界面操作完成 GIS 分析,还可以使用代码进行自动化处理和数据分析。 笔记本提供了一种将代码、说明文字和运行结果集中在一起的方式,是连接 GIS 操作与脚本分析的重要工具。 什么是 ArcGIS Pro 中的笔记本 通俗的… 2026/7/5 7:05:43
XCA 2.9.0:开源证书管理工具,让PKI管理变得简单高效 [特殊字符] XCA 2.9.0:开源证书管理工具,让PKI管理变得简单高效 🔐 【免费下载链接】xca X Certificate and Key management 项目地址: https://gitcode.com/gh_mirrors/xc/xca XCA(X Certificate and Key Management)是一… 2026/7/5 20:56:28
Buildout PYTHONPATH接管机制导致子进程模块导入失败 1. 项目概述:当 Buildout 在 FreeBSD 上突然“失忆”了你有没有遇到过这种状况:一套在 macOS 上跑得稳稳当当的 Plone 项目,一挪到 FreeBSD 虚拟机里就各种报错,而且错误还特别“玄学”——不是每次都出,有时候能过&am… 2026/7/5 20:52:28
Meshroom三维重建:免费开源工具,用照片轻松创建专业3D模型 Meshroom三维重建:免费开源工具,用照片轻松创建专业3D模型 【免费下载链接】Meshroom Node-based Visual Programming Toolbox 项目地址: https://gitcode.com/gh_mirrors/me/Meshroom 想象一下,你刚完成一次精彩的旅行,拍… 2026/7/5 20:52:28
RDiscount社区贡献指南:如何为开源Markdown处理器做贡献 RDiscount社区贡献指南:如何为开源Markdown处理器做贡献 【免费下载链接】rdiscount Discount (For Ruby) Implementation of John Grubers Markdown 项目地址: https://gitcode.com/gh_mirrors/rd/rdiscount RDiscount是一个基于Discount库的Ruby实现&#… 2026/7/5 20:52:28
如何在5分钟内用Sionna构建你的第一个通信系统仿真? 如何在5分钟内用Sionna构建你的第一个通信系统仿真? 【免费下载链接】sionna Sionna: An Open-Source Library for Research on Communication Systems 项目地址: https://gitcode.com/gh_mirrors/si/sionna 你是否曾经想要快速搭建一个通信系统仿真… 2026/7/5 20:50:27
BiliTools:3个步骤解决你90%的B站资源下载难题 BiliTools:3个步骤解决你90%的B站资源下载难题 【免费下载链接】BiliTools A cross-platform bilibili toolbox. 跨平台哔哩哔哩工具箱,支持下载视频、番剧等等各类资源 项目地址: https://gitcode.com/GitHub_Trending/bilit/BiliTools 还在为B站… 2026/7/5 20:48:26
6个月转型AI工程师:实战路径与核心技能 1. 项目概述:6个月转型AI工程师的可行性路径在2023年大模型技术爆发的背景下,AI工程师岗位需求同比增长217%(LinkedIn数据)。不同于传统算法工程师需要3-5年培养周期,现代AI工程师更侧重工程化落地能力。我在硅谷科技公… 2026/7/5 0:01:32
TPAFE0808与PIC18F87K22的多通道信号采集方案 1. 项目背景与核心需求在工业自动化、医疗设备和科研仪器等领域,多通道信号采集与系统监测是基础且关键的技术需求。传统方案往往面临通道数量不足、信号调理复杂、系统集成度低等问题。TPAFE0808作为一款8通道模拟前端芯片,与PIC18F87K22微控制器的组合… 2026/7/5 0:01:32
STC3115与PIC18LF26K80构建高精度电池管理系统 1. STC3115与PIC18LF26K80在电池管理系统中的核心价值在现代电子设备中,电池管理系统(BMS)的重要性不亚于设备的核心处理器。STC3115作为一款高精度电池电量监测IC,与PIC18LF26K80微控制器的组合,构成了一个既能精确监控又能智能管理的完整解… 2026/7/5 0:05:36
6个月转型AI工程师:实战路径与核心技能 1. 项目概述:6个月转型AI工程师的可行性路径在2023年大模型技术爆发的背景下,AI工程师岗位需求同比增长217%(LinkedIn数据)。不同于传统算法工程师需要3-5年培养周期,现代AI工程师更侧重工程化落地能力。我在硅谷科技公… 2026/7/5 0:01:32
TPAFE0808与PIC18F87K22的多通道信号采集方案 1. 项目背景与核心需求在工业自动化、医疗设备和科研仪器等领域,多通道信号采集与系统监测是基础且关键的技术需求。传统方案往往面临通道数量不足、信号调理复杂、系统集成度低等问题。TPAFE0808作为一款8通道模拟前端芯片,与PIC18F87K22微控制器的组合… 2026/7/5 0:01:32
STC3115与PIC18LF26K80构建高精度电池管理系统 1. STC3115与PIC18LF26K80在电池管理系统中的核心价值在现代电子设备中,电池管理系统(BMS)的重要性不亚于设备的核心处理器。STC3115作为一款高精度电池电量监测IC,与PIC18LF26K80微控制器的组合,构成了一个既能精确监控又能智能管理的完整解… 2026/7/5 0:05:36