- A+
安全调查员能够窃取攻击Epic Games子域的访问令牌
根据国际网络安全研究所的网络安全和道德黑客专家的说法, Epic Games帐户认证系统中最近发现的流行视频游戏Fortnite漏洞暴露了游戏玩家的账号。 据报道,恶意用户可能会盗取登录令牌; 攻击者只需要受害者点击特制链接。
跨站点脚本(XSS)攻击与无效的子域一起使网络安全专家能够规避用于访问Fortnite的登录控制系统实施的保护措施。
“单点登录(SSO)系统可能很有用,但只有在访问的平台不易受攻击时”,正如网络安全专家所考虑的那样。 正确实施后,用户身份验证将传递给第三方开发人员,该开发人员通过一次性令牌授权访问平台。
来自网络安全公司的研究人员设法利用此漏洞在第二次请求单个令牌,然后将其重定向到受感染的站点,从那里它可能被盗。 研究人员得出结论,Epic Games在其登录页面(accounts.epicgames.com)上使用了一个无效域,可以将其重定向到另一个站点。 在将令牌重定向到易受攻击的站点后,专家可以通过JavaScript代码注入来窃取它。
为了使攻击成功,受害者需要点击特制的网络钓鱼链接。 当受害者访问Fortnite时,登录页面将被重定向到攻击者的网站,其中令牌将被盗。 此攻击可能不是最详细的攻击,但攻击者需要某些技术专业知识,而不仅仅是部署网络钓鱼攻击或暴力攻击所需的技术专业知识。
作为一种平均复杂性的攻击,调查人员并不排除该漏洞已经在野外被利用,尽管这几乎无法验证。 另一方面,Epic Games发表了一份声明,提到该漏洞已在2018年12月初得到纠正,但没有提及是否有任何证据表明漏洞已在某些时候被利用。
Fortnite已经变得非常受欢迎,每月有近8000万玩家,另外还有大约2亿玩家在平台上注册。
