《反恐精英2》曝漏洞,可在游戏中插入图片、抓取玩家IP地址
2023-12-14 18:0:8 Author: 看雪学苑(查看原文) 阅读量:7 收藏

近日,世界上最为流行的FPS游戏之一《反恐精英2(Counter-Strike 2)》被爆存在漏洞,引发了游戏社区的关注。该漏洞使得恶意玩家能够在游戏中插入图片,并泄露游戏玩家们的IP地址。
这一问题最初被怀疑是潜在的严重跨站脚本(XSS)漏洞,后来被确认为HTML注入漏洞。该漏洞要从游戏开发商Valve公司的Panorama UI说起。Panorama UI负责《反恐精英2》用户界面的布局和设计,该UI框架与现代网页设计的HTML/CSS/JavaScript相像。
漏洞源于Panorama UI的设计未对输入字段进行充分的消毒,使其可以接受HTML。这种输入通常是应该被禁止的,因为运行不受信任的程序存在安全风险。由于这一漏洞的存在,用户能够注入HTML代码,而这些代码会被输出为HTML而不是纯文本。
攻击者利用这一漏洞,通过在踢人投票面板中插入HTML代码(通常是图像元素<img>),获得了向游戏中添加外部内容(如脚本或图形)的能力。这个问题往轻了说,影响可能仅是在游戏中插入了一些恶搞图片。
但与此同时,还存在着其他危害,例如,恶意用户能够通过<img>元素触发一个远程IP记录脚本。当其他玩家查看投票踢人面板时,他们的IP地址会在不知情的情况下被记录。这些IP地址可能被用于发动分布式拒绝服务(DDoS)攻击,通过向目标网络发送大量流量,破坏网络服务并使玩家断开比赛连接。
据了解,Valve公司已经通过发布一个7MB的更新补丁来解决这一问题,该更新清理了任何HTML输入,并将其转换为纯文本,以防止滥用。

编辑:左右里

资讯来源:waxpeer

转载请注明出处和本文链接

每日涨知识

packet(包) 

通过通信线路作为一个单位传输的一组信息。包含 IP header(IP 头)以及 payload(有效负荷)。



球分享

球点赞

球在看

“阅读原文一起来充电吧!

文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458531566&idx=2&sn=fdb35609651db2fef2070f7978f8105d&chksm=b0a4d4c838f0b883b98f192bc88c72108477c38b4ab168bb90ed7e0e783dcefa088c0789910d&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh