Баг на сайте Xbox позволил злоумышленникам узнать адреса электронной почты игроков
Новости
Для получения доступа к конфиденциальной информации, достаточно было провернуть нехитрые манипуляции на портале enforcement.xbox.com. Стоит отметить, что на момент написания материала, проблема была устранена.
278 открытий279 показов
Специалист по кибербезопасности Джозеф Харрис рассказал, что уязвимость была найдена в результате его желания проверить сервисы Microsoft на прочность. Для этого эксперт зашёл на портал Xbox Enforcement, где воспользовался незашифрованностью поля Xbox user ID в cookie-файлах сайта. Затем, использовав «инструменты, включённые во все современные браузеры», он подменил этот самый ID на ID другого, тестового аккаунта.
Попытавшись заменить значение cookie и обновив страницу, я мгновенно получил возможность видеть адреса электронной почты других [игроков].
Также было опубликовано видео, более наглядно демонстрирующее сам баг:
Харрис уже оповестил Microsoft об имеющейся уязвимости. Благодаря своевременной реакции специалистов компании, проблема была оперативно устранена. В свою очередь разработчик, нашедший её, может претендовать на денежное вознаграждение — отчёт об ошибке был отправлен в рамках программы Xbox bug bounty program, которая подразумевает выплаты до 20 000 долларов.
278 открытий279 показов
Как организовать систему безопасной разработки ПО в компании и с какими самыми частыми ошибками приходится сталкиваться.
Девять месяцев участники будут решать реальные задачи по кибербезопасности, а также смогут продолжить работу в банке после стажировки.
В этой статье мы поговорим о том, как обеспечить безопасность вашего телеграм-бота на Python, чтобы избежать спама, фишинга и DDoS-атак.
Microsoft Edge совсем скоро сможет похвастаться новой функцией, делающей иностранный контент доступнее. Правда, Яндекс.Браузер такой функцией может похвастаться уже несколько лет как