网站评论者是“公开并永久列出其邮政编码”,任何人都可以看到
更新Gamasutra评论部分中的一个缺陷可能已将用户的IP地址暴露了两年多。
The vulnerability in the popular gaming industry news and blogging site was spotted by software engineer and independent game developer Daniel Shumway, who said he flagged the issue to the site’s owners back in 2016 and decided to go public with his findings following a “multi-year responsible disclosure period”.
在一个博客文章舒姆威(Shumway)于本周早些时候出版,他说,恶意访客可以轻松查看Gamasutra网站上任何评论者的IP地址。beplay体育能用吗
他解释说:“ Gamasutra记录了每个在网站上发表评论的用户的IP地址。”“此地址附在每篇文章的每个评论的响应json上。
“这些IP地址无限期存储。当我发现这种脆弱性时,我能够在整个帐户历史记录的整个过程中重建我的整个生活历史。”
开发商说,用外行的话说,大多数对Gamasutra文章发表评论的人“公开并永久地在互联网上列出了他们的邮政编码,以供任何人看到。”
每日swbeplay2018官网ig昨天独立验证了这个问题。
除了IP泄漏外,Shumway还说他还确定了CSS注入漏洞,该漏洞可以使恶意访问者跟踪用户行为或记录用户密码,以及“琐碎”跨站脚本((XSS)缺陷可以使攻击者使用JavaScript漏洞窃取用户凭据。
他说:“虽然我不会提到这种确切的方法,但Gamasutra的解析似乎是基于一些三心二意的正则表达方式。”“只花了几个小时才能找到他们的系统中的孔,大部分时间都花在等待我的帖子上适当节省和加载。”
他补充说:“窃取用户的凭据意味着攻击者可以编辑对该用户的博客文章的访问。这意味着脚本可以“感染”其他用户帐户,将自己插入其帖子中,以默默地传播在整个网站上。”
最后,开发人员说,Gamasutra网站上缺乏数据库身份验证,使已登录的用户完全访问其网站范围的图像数据库。
他说:“我确认我能够查看,上传,删除和重命名我自己的博客文章之一。”“我还确认,一旦Gamasutra的缓存到期,新的替换图像就会正常使用。”
Gamasutra于1997年推出,是对视频游戏开发和相关行业新闻感兴趣的人的热门网站。
该网站归UBM技术集团所有,该集团也许被称为该网站黑帽安全会议在美国,欧洲和亚洲。
舒姆韦告诉每日swbeplay2018官网ig:“我报告了2016年的XSS/CSS漏洞和IP地址泄漏。数据库漏洞仅在两个月前就报告了。
“其中,试图专门修复XSS漏洞。我不知道什么时候被推动了。”
他补充说:“我发现与UBM(周一)联系后发现这实际上是有点沟通错误。该错误之后被标记为关闭,即使修复程序仅使攻击更难执行。
“我不知道该错误已经完全关闭,并且高层管理人员不知道该修复程序不足。据我所知,从来没有任何解决方案来解决其他漏洞。”
在一份声明中每日swbeplay2018官网igUBM发言人说:“我们正在积极努力调查并解决该博客作者向我们报告的网站的一些问题,并感谢他们与他们保持联系。beplay体育能用吗我们现在没有其他东西要添加。”
本文已更新以包括UBM的评论。
