Re: [新聞] Steam個人檔案頁面目前存在安全漏洞

看板Steam作者 (嘎肉)時間9年前 (2017/02/08 00:05), 9年前編輯推噓8(807)
留言15則, 11人參與, 最新討論串1/1
※ 引述《smallcountry (冰鋒冷劍)》之銘言: : 本文轉載不須告知,感謝置底聊天區板友提供的消息。 : 雖然這是Reddit上消息來源,但是他由Steam Moderator發布,使用新聞標題。 : https://redd.it/5skfg4 : 巴哈的討論應該比較清楚 : https://forum.gamer.com.tw/C.php?bsn=60599&snA=13091&tnum=2 : ============================================================================== : 原文大意是說: : 這項漏洞已經回報Valve,應該很快會被修正。 : 目前的Steam個人檔案頁面存在安全漏洞, : 只要你進入別人可疑的(真實的)Steam個人檔案頁面時立即可能遭到感染。 : 所有裝置的瀏覽器目前都受到影響。 : Do NOT click suspicious (real) steam profile links and : Disable JavaScript on Browser. : 目前的建議不要點擊任何進入可疑的(真實的)Steam個人檔案頁面網址連結, : 且停用瀏覽器的JavaScript。 那串討論回文是我 以下都是推測,不過我覺得可能性很大,巴哈那邊我就不詳述了 我剛查看一下,為什麼點進『別人』個人首頁會受到釣魚網站的『攻擊』(非感染) 根據巴哈另一篇文章有教學如何在個人首頁播放Youtube的音樂 1.建立一篇攻略,標題要使用html語法『iframe』(重點)連結至Youtube(或任何連結) 2.使用『我的指南』展示欄,並將第一篇攻略擺上去 3.V社沒有檢查將html語法去除 4.個人頁面「我的指南」的iframe被執行,建立出框架並連結至Youtube→ Youtube自動播放→達成個人首頁自動播放音樂 iframe是幹麻的?Html語法中iframe是一種內置框架,能在網頁中在放置另一個網頁 漏洞是在V社檢查文章標題時,沒有將html語法去除 接下來就好玩了,iframe的語法可以拿來做啥? 搭配上JavaScript,可以做到自動轉址 你可能第一次進去是看到正常的個人網頁,但是因為iframe透過JS自動連結到釣魚網頁 你可能看到畫面閃一下就跳回登入畫面(釣魚網頁), 以為要重新登入,就輸入帳號密碼&驗證碼。 這時候釣魚網站就取得你的帳號、密碼及1分鐘內的驗證碼, 只要用自動化程式來自動登入,神不知鬼不覺就登入你的帳號。 不過因為V社交易系統的關係,物品庫的損失可以不計,頂多被刪掉 受害者有用手機驗證,因為要用手機再次確認,所以無法交易 受害者沒用手機驗證或E-mail驗證,因為有託管系統,即時發現的話傷害也能避免 比較大的問題在於,如果你有錢包餘額或是有登錄信用卡 透過『送禮』的方式,會造成實際上的損害(送禮不受30天交易限制) 黑客可以透過送禮榨乾錢包&刷爆信用卡、修改Steam密碼來達成拖延時間, 再將透過G2A、Eaby等拍賣網站,將禮物賣到第三方善意人士手上 ============================================================================ 受害者變成加害者 ============================================================================ 利用自動化機器人,用你的個人頁面,再次創造出上述漏洞 透過你的好友系統聊天,四處傳播,而且因為是『真正的Steam社區』的網址 所以V社網頁偵測也無法偵測是否為偽造、假、高風險網站 所以現在建議任何版友不要去點任何個人網頁,並且將JS確實關閉 因為這次漏洞更嚴重點,如果iframe 包的不是釣魚網站而是勒索病毒呢? -- 約書亞:『艾絲蒂爾要上了喔!』 艾絲蒂爾:『OK!交給我吧!』 & :『喔!啊啊啊啊!!!』 艾絲蒂爾:『奧義!太極無~~按二下!』 by 零之軌跡 約書亞&支援科眾人:『..........』 一段翻譯姬的美麗誤會 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.117.104.190 ※ 文章網址: https://www.ptt.cc/bbs/Steam/M.1486483549.A.CEF.html ※ 編輯: k70709 (122.117.104.190), 02/08/2017 00:12:51
02/08 00:13, , 1F
好扯V社怎麼犯這種低級錯誤@@
02/08 00:13, 1F
02/08 00:27, , 2F
XSS蒸蚌
02/08 00:27, 2F
02/08 00:42, , 3F
好久以前的玩法了0.0
02/08 00:42, 3F
02/08 01:01, , 4F
那要怎麼避免呢?上篇的設定我已經設好了就OK了嗎?
02/08 01:01, 4F
02/08 01:02, , 5F
別亂輸入帳密就可以避免嗎?
02/08 01:02, 5F
02/08 01:05, , 6F
避免喔.. 目前別點進任何Steam個人頁面吧(?
02/08 01:05, 6F
02/08 01:17, , 7F
現在貌似已經修好了 http://i.imgur.com/BGJdSCr.jpg
02/08 01:17, 7F
02/08 01:17, , 8F
防html tag不是資安基本常識嗎
02/08 01:17, 8F
02/08 01:29, , 9F
蒸蚌
02/08 01:29, 9F
02/08 02:25, , 10F
不只是個人首頁,你把那篇攻略加到自己最愛,
02/08 02:25, 10F
02/08 02:25, , 11F
所有你的朋友只要點開他們自己的動態,就會自動播放。
02/08 02:25, 11F
02/08 02:25, , 12F
(因為會跳通知:某某某將XXX加為最愛)
02/08 02:25, 12F
02/08 02:27, , 13F
(然後那個標題預覽列就會變成Youtube開始唱歌跳舞)
02/08 02:27, 13F
02/08 08:41, , 14F
看來這個漏洞是修好了 https://redd.it/5smjle
02/08 08:41, 14F
02/08 12:50, , 15F
推個
02/08 12:50, 15F
更多 k70709 的文章
文章代碼(AID): #1OcV1Tpl (Steam)