Klick und weg: XSS-Lücke bei Fortnite

Antwort erstellen


Diese Frage dient dazu, das automatisierte Versenden von Formularen durch Spam-Bots zu verhindern.
Smilies
:D :) :( :o :shock: :? 8) :lol: :x :P :oops: :cry: :evil: :twisted: :roll: :wink: :!: :?: :idea: :arrow: :| :mrgreen: :pukeon: :saw: :stupid: :machinegun: :spank: :zzz: :sunglasses:
Mehr Smilies anzeigen

BBCode ist eingeschaltet
[img] ist eingeschaltet
[flash] ist ausgeschaltet
[url] ist eingeschaltet
Smilies sind eingeschaltet

Die letzten Beiträge des Themas
   

Ansicht erweitern Die letzten Beiträge des Themas: Klick und weg: XSS-Lücke bei Fortnite

Klick und weg: XSS-Lücke bei Fortnite

von doelf » 21 Jan 2019, 10:57

Die Sicherheitsexperten von "Check Point Research" haben eine Möglichkeit gefunden, fremde Fortnite-Konten per Cross-Site-Scripting (XSS) zu übernehmen. Einfach das Opfer dazu bringen, auf einen Link zu klicken, und schon hat der Angreifer vollen Zugriff auf das Konto des Spielers. Zumindest hat Epic Games schnell reagiert und die Lücke gestopft.

Zunächst hatten die Sicherheitsexperten den Datenbankserver ausgekundschaftet und dann eine XSS-Lücke über die Sucheingabe auf der Subdomain ut2004stats.epicgames.com ausgemacht. Den Durchbruch brachte letztendlich der Single Sign-on (SSO), mit dem Epic eine Anmeldung über Microsofts XBox Live, Nintendo, Sonys PlayStation Network bzw. Facebook oder Google+ ermöglicht. Beim Klick auf "Anmelden" generierte Epic nämlich eine URL, welche einen Umleitungs-Link enthielt. Und dieser ließ sich gegen eine beliebige URL unter der Domain epicgames.com austauschen, also auch gegen die Subdomain mit der XXS-Lücke. Folglich bastelten die Forscher einen Link mit angepasster Umleitung samt XXS-Exploit, welchen man dem Opfer nur noch per Messenger, sozialem Netzwerk oder E-Mail zuspielen musste. Sobald der Link angeklickt wurde, landete der OAuth-Login-Token beim Angreifer, der damit vollen Zugriff auf das Benutzerkonto seines Opfers hatte.

Quelle:
https://research.checkpoint.com/hacking-fortnite/

Nach oben