Vikii

Уязвимость в Xbox позволяла через логины игроков узнавать их адреса электронной почты

В теме 1 сообщение

Компания Microsoft исправила уязвимость в web-сайте Xbox, эксплуатация которой позволяла злоумышленникам с помощью тегов игроков Xbox (логинов) узнавать реальные адреса электронной почты пользователей. Об этом изданию ZDNet сообщил исследователь безопасности Джозеф Харрис (Joseph Harris).

Проблема была обнаружена в web-портале execution.xbox.com, куда пользователи Xbox заходят для просмотра предупреждений, касающихся их профиля Xbox, и подачи апелляций, если они считают, что им был вынесен несправедливый выговор за поведение в сети Xbox. После авторизации на сайте Xbox Enforcement создает cookie-файл в браузере с подробной информацией о web-сеансе пользователя, позволяя избегать процесс авторизации при следующем посещении сайта.

Включенный cookie-файл портала содержит поле идентификатора пользователя Xbox (XUID), которое не было зашифровано. Используя инструменты, включенные во все современные браузеры, Харрис отредактировал поле XUID и заменил его на XUID тестовой учетной записи, которую он создал и использовал для тестирования в рамках программы вознаграждения за найденные уязвимости от Xbox.

«Я пытался заменить значение cookie-файла и обновить его, и внезапно смог увидеть адреса электронной почты других пользователей», — сказал Харрис.

Microsoft исправила данную проблему на стороне сервера, так что пользователям не нужно предпринимать никаких дополнительных действий.

Поделиться сообщением


Ссылка на сообщение

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти