高德Xbox漏洞可能会让黑客将玩家标签与玩家的电

高德平台怎么注册,高德平台注册交流

高德注册登录【主管QQ554-258】微软修补了Xbox网站上的一个漏洞,该漏洞可能允许威胁者将Xbox玩家标签(用户名)链接到用户真实的电子邮件地址。

该漏洞是通过微软最近推出的Xbox bug bounty计划报告给微软的。

Joseph“Doc”Harris是今年向微软报告该问题的几位安全研究人员之一,本周早些时候他与ZDNet分享了他的发现。

这位安全研究人员说,漏洞是在enforcement.xbox.com上发现的,高德官网注册Xbox用户可以在该网站上查看针对其Xbox个人资料的攻击,如果他们觉得自己在Xbox网络上的行为受到了不公平的批评,还可以提交申诉。

用户登录到该网站后,Xbox强制执行网站会在他们的浏览器中创建一个cookie文件,其中包含有关他们web会话的详细信息,这样他们下次访问该网站时就不必重新进行身份验证了。

哈里斯说,该门户网站的cookie文件包含一个未加密的Xbox用户ID (XUID)字段。

使用所有现代浏览器自带的工具,哈里斯编辑了XUID字段,并将其替换为一个测试帐户的XUID,这个测试帐户是他创建的,并作为Xbox bug bounty计划的一部分用于测试。

哈里斯在本周的一次采访中告诉ZDNet:“我试着替换cookie值并刷新,突然间我就能看到其他用户的邮件了。”

哈里斯还分享了一个bug的视频,嵌入如下:

微软上个月针对这个漏洞发布了一个补丁。“解决办法是加密XUID,”哈里斯告诉我们。

微软发言人周二在一封电子邮件中表示,高德注册修复程序部署在服务器端,“用户不需要采取额外措施来保持安全。”

哈里斯说,其他Xbox子域名没有同样的问题。

微软安全响应中心负责测试漏洞报告,该中心的一名安全分析师说,Xbox漏洞赏金计划不包括该漏洞,但微软同意让哈里斯作为贡献者加入漏洞赏金名人堂。

由于这个漏洞不能用来劫持Xbox,所以微软并没有认为这个漏洞值得给予金钱奖励,但这个漏洞可能允许威胁者将任何Xbox玩家的标签链接到玩家真实的电子邮件地址上。

将玩家的电子邮件账户与真实身份联系在一起已经导致了很多骚扰事件,而如今,借助OpSec工具的帮助,这已经是微不足道的事情了,这些工具可以在不同的在线档案之间建立联系,甚至可以从最小的个人信息中找到关联。

事实上,大多数游戏玩家使用相同的电子邮件地址作为他们的大部分在线帐户也有很大帮助。


上一篇
高德SolidRun接管了谷歌的树莓派式计算机
上一篇
高德万事达卡与迪肯和澳大利亚邮政合作扩展数
  • 版权声明:内容来自互联网不代表本站观点,2020-11-26发表于 高德注册栏目。
  • 转载请注明: 高德Xbox漏洞可能会让黑客将玩家标签与玩家的电| 高德注册 +复制链接