Уязвимый CS2: Counter-Terrorists Alert('XSS')
Игроки обнаружили, что если поставить себе ник в виде HTML-кода с медиафайлом, то при попытке голосования на кик игрока файл будет воспроизведен!
Используют это в основном как шутку, проигрывая всякий запрещенный и шок-контент.
Но что потенциально еще можно сделать?
Эта уязвимость выглядит как Хранимая XSS (Cross-site Scripting), и какой-никакой код выполнить можно.
Например, с помощью нее уже продемонстрировали разглашение IP-адреса жертвы, которая подгрузила этот медиа-файл (видео 2).
А что еще? Для заражения системы игрока этого явно будет мало. Для этого нужна связка из подобной уязвимости и уязвимости на выполнение кода в самом движке игры. И такая уже была! Но в прошлой версии CS.
Чтож даже гигантам геймдев индустрии явно не хватает компетенций по информационной безопасности.
P.S. За видео спасибо каналу Good Game.
Игроки обнаружили, что если поставить себе ник в виде HTML-кода с медиафайлом, то при попытке голосования на кик игрока файл будет воспроизведен!
Используют это в основном как шутку, проигрывая всякий запрещенный и шок-контент.
Но что потенциально еще можно сделать?
Эта уязвимость выглядит как Хранимая XSS (Cross-site Scripting), и какой-никакой код выполнить можно.
Например, с помощью нее уже продемонстрировали разглашение IP-адреса жертвы, которая подгрузила этот медиа-файл (видео 2).
А что еще? Для заражения системы игрока этого явно будет мало. Для этого нужна связка из подобной уязвимости и уязвимости на выполнение кода в самом движке игры. И такая уже была! Но в прошлой версии CS.
Чтож даже гигантам геймдев индустрии явно не хватает компетенций по информационной безопасности.
P.S. За видео спасибо каналу Good Game.