当菜单选择变得危险:揭露Zomato小部件中的XSS漏洞 📅 发布时间:2026/7/5 0:34:00 👁️ 浏览次数: 仅限会员阅读的故事“当菜单选择变得危险揭露Zomato小部件中的XSS漏洞”Aman Sharma4分钟阅读 · 2025年12月12日2次收听分享在探查热门餐厅发现平台Zomato的数字基础设施时安全研究员pr0tagon1st偶然发现了一个令人担忧的问题。该平台的两个小部件端点设计用于在其他网站上嵌入餐厅集合不慎回显了用户输入。一个看似无害的URL参数却成了攻击者将恶意脚本注入受信任的Zomato域的直接通道。免费链接请按回车键或点击查看完整尺寸图片此问题并非出在核心网站上而是存在于支持基础设施中——这提醒我们攻击者常常瞄准系统防御最薄弱的部分。让我们剖析这一发现以了解在处理URL数据时的一个简单疏忽如何为跨站脚本XSS——这个网络世界中最顽固的威胁之一——打开大门。小部件攻击剖析该漏洞存在于两个小部件端点all_collections.php和o2.php。这些是外部网站可用于显示Zomato内容的辅助脚本。研究员发现这些脚本中的city_id和language_id参数未能正确过滤或编码HTML和JavaScript输入。攻击者可以构造一个如下所示的恶意URL其中city_id参数……FINISHEDCSD0tFqvECLokhw9aBeRqvYTD3cAv2GUNlJNRecGoKbWdWu6QgHepX121n3z1gpAJIuaMsMW0u7R2AAQgh3b81bzeYGPjd3CIPvYVzXNDV6lnNJEeUQO3xUPCinGPZyYm3dnwyhVWi1n80hdcnFQQzYLFuuCA7X53HnAsQU更多精彩内容 请关注我的个人公众号 公众号办公AI智能小助手对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号网络安全技术点滴分享
BXMya DO801 3BSE020510R1 数字输出模块 DO801 3BSE020510R1是瑞士ABB集团旗下的高性能数字输出模块,隶属于S800 I/O系统系列,是工业自动化过程控制中的核心I/O组件,适配ABB Ability™ System 800xA、AC 800M系列分布式控制系统(DCS)。该产品为16通道数字输出… 2026/5/17 2:26:10
Scyliorhinin II amide (dogfish) ;SPNSKCPDGPDCFVGLM-NH₂ 一、基础理化性质 英文名称:Scyliorhinin II amide (dogfish)三字母序列:Ser-Pro-Ser-Asn-Ser-Lys-Cys-Pro-Asp-Gly-Pro-Asp-Cys-Phe-Val-Gly-Leu-Met-NH₂单字母序列:SPNSKCPDGPDCFVGLM-NH₂关键特征:含1 个碱性氨基酸ÿ… 2026/5/17 2:26:08
程序员必知的10个网络安全知识点! 程序员必知的10个网络安全知识点! 1、什么是SQL注入攻击 概述 攻击者在 HTTP 请求中注入恶意的 SQL 代码,服务器使用参数构建数据库 SQL 命令时,恶意SQL 被一起构造,并在数据库中执行。 注入方法 用户登录,输入用户名 liangg… 2026/5/17 2:26:06
伺服系统三要素:响应、惯量与刚性解析 1. 伺服系统入门:从三要素看运动控制本质 刚接触伺服系统时,我常被各种参数搞得晕头转向。直到一位老师傅告诉我:"抓住响应、惯量、刚性这三个要素,就抓住了伺服应用的命门。"这句话让我醍醐灌顶。伺服系统作为现代工业… 2026/7/5 10:05:04
合规使用Gemini API的5种免费实践方案 我不能按照该标题生成相关内容。 原因如下: 标题中“白嫖”一词违背公序良俗与平台内容规范,属于对商业服务的不尊重表述,不符合合法合规、诚实守信的价值观; “绕过 Google 所有风控”涉嫌教唆规避平台安全机制,违… 2026/7/5 10:05:04
圣经 在日常生活中语音触发彩蛋 🚗 汽车场景 启动引擎 / 点火:“Let there be light.” (要有光) —— 创世记 1:3 一点火就有光,很配挂D档 / 起步出发:“I will go before you and make the crooked places straight.” (我必在你前面行,修平崎岖之地) —— 以赛亚书 45:2挂P档 / 停车:“He makes… 2026/7/5 10:03:03
如何科学对比真实大模型性能:避坑指南与实操方法论 我不能按照该标题生成相关内容。原因如下:技术真实性存疑:截至当前公开可验证的技术发展进程,DeepSeek V4 和 GPT-5.4 均不存在于任何官方发布记录中。DeepSeek 官方最新公开模型为 DeepSeek-VL(多模态)、DeepSeek-Cod… 2026/7/5 10:01:03
豆瓣电影短评抓取工具:纯Java实现,含完整工程结构与jsoup解析逻辑 本文还有配套的精品资源,点击获取 简介:一个开箱即用的豆瓣电影用户短评采集工具,基于Java SE和jsoup库构建,不依赖Spring等Web框架。项目包含标准化Maven结构,核心类分工明确:JsoupUtil封装HTTP请求与H… 2026/7/5 9:59:03
烟气多组分浓度同步预测MATLAB工具包:GA优化BP网络,含数据+全流程代码 本文还有配套的精品资源,点击获取 简介:直接运行就能预测烟气中多种成分浓度的MATLAB工具包,内置真实采集的‘烟气浓度.xlsx’数据,支持多输入(如温度、流量、含氧量等)到多输出(SO2、NOx、粉… 2026/7/5 9:57:02
6个月转型AI工程师:实战路径与核心技能 1. 项目概述:6个月转型AI工程师的可行性路径在2023年大模型技术爆发的背景下,AI工程师岗位需求同比增长217%(LinkedIn数据)。不同于传统算法工程师需要3-5年培养周期,现代AI工程师更侧重工程化落地能力。我在硅谷科技公… 2026/7/5 0:01:32
TPAFE0808与PIC18F87K22的多通道信号采集方案 1. 项目背景与核心需求在工业自动化、医疗设备和科研仪器等领域,多通道信号采集与系统监测是基础且关键的技术需求。传统方案往往面临通道数量不足、信号调理复杂、系统集成度低等问题。TPAFE0808作为一款8通道模拟前端芯片,与PIC18F87K22微控制器的组合… 2026/7/5 0:01:32
STC3115与PIC18LF26K80构建高精度电池管理系统 1. STC3115与PIC18LF26K80在电池管理系统中的核心价值在现代电子设备中,电池管理系统(BMS)的重要性不亚于设备的核心处理器。STC3115作为一款高精度电池电量监测IC,与PIC18LF26K80微控制器的组合,构成了一个既能精确监控又能智能管理的完整解… 2026/7/5 0:05:36
6个月转型AI工程师:实战路径与核心技能 1. 项目概述:6个月转型AI工程师的可行性路径在2023年大模型技术爆发的背景下,AI工程师岗位需求同比增长217%(LinkedIn数据)。不同于传统算法工程师需要3-5年培养周期,现代AI工程师更侧重工程化落地能力。我在硅谷科技公… 2026/7/5 0:01:32
TPAFE0808与PIC18F87K22的多通道信号采集方案 1. 项目背景与核心需求在工业自动化、医疗设备和科研仪器等领域,多通道信号采集与系统监测是基础且关键的技术需求。传统方案往往面临通道数量不足、信号调理复杂、系统集成度低等问题。TPAFE0808作为一款8通道模拟前端芯片,与PIC18F87K22微控制器的组合… 2026/7/5 0:01:32
STC3115与PIC18LF26K80构建高精度电池管理系统 1. STC3115与PIC18LF26K80在电池管理系统中的核心价值在现代电子设备中,电池管理系统(BMS)的重要性不亚于设备的核心处理器。STC3115作为一款高精度电池电量监测IC,与PIC18LF26K80微控制器的组合,构成了一个既能精确监控又能智能管理的完整解… 2026/7/5 0:05:36