近日,世界上最为流行的FPS游戏之一《反恐精英2(Counter-Strike 2)》被爆存在漏洞,引发了游戏社区的关注。该漏洞使得恶意玩家能够在游戏中插入图片,并泄露游戏玩家们的IP地址。
这一问题最初被怀疑是潜在的严重跨站脚本(XSS)漏洞,后来被确认为HTML注入漏洞。该漏洞要从游戏开发商Valve公司的Panorama UI说起。Panorama UI负责《反恐精英2》用户界面的布局和设计,该UI框架与现代网页设计的HTML/CSS/JavaScript相像。
漏洞源于Panorama UI的设计未对输入字段进行充分的消毒,使其可以接受HTML。这种输入通常是应该被禁止的,因为运行不受信任的程序存在安全风险。由于这一漏洞的存在,用户能够注入HTML代码,而这些代码会被输出为HTML而不是纯文本。
攻击者利用这一漏洞,通过在踢人投票面板中插入HTML代码(通常是图像元素<img>),获得了向游戏中添加外部内容(如脚本或图形)的能力。这个问题往轻了说,影响可能仅是在游戏中插入了一些恶搞图片。
但与此同时,还存在着其他危害,例如,恶意用户能够通过<img>元素触发一个远程IP记录脚本。当其他玩家查看投票踢人面板时,他们的IP地址会在不知情的情况下被记录。这些IP地址可能被用于发动分布式拒绝服务(DDoS)攻击,通过向目标网络发送大量流量,破坏网络服务并使玩家断开比赛连接。
据了解,Valve公司已经通过发布一个7MB的更新补丁来解决这一问题,该更新清理了任何HTML输入,并将其转换为纯文本,以防止滥用。
编辑:左右里
资讯来源:waxpeer
转载请注明出处和本文链接
通过通信线路作为一个单位传输的一组信息。包含 IP header(IP 头)以及 payload(有效负荷)。
原文始发于微信公众号(看雪学苑):《反恐精英2》曝漏洞,可在游戏中插入图片、抓取玩家IP地址
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/2300343.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论