Post #299

Уязвимый CS2: Counter-Terrorists Alert('XSS') Игроки обнаружили, что если поставить себе ник в виде HTML-кода с медиафайлом, то при попытке голосования на кик игрока файл будет воспроизведен! Используют это в основном как шутку, проигрывая всякий запрещенный и шок-контент. Но что потенциально еще можно сделать? Эта уязвимость выглядит как Хранимая XSS (Cross-site Scripting), и какой-никакой код выполнить можно. Например, с помощью нее уже продемонстрировали разглашение IP-адреса жертвы, которая подгрузила этот медиа-файл (видео 2). А что еще? Для заражения системы игрока этого явно будет мало. Для этого нужна связка из подобной уязвимости и уязвимости на выполнение кода в самом движке игры. И такая уже была! Но в прошлой версии CS. Чтож даже гигантам геймдев индустрии явно не хватает компетенций по информационной безопасности. P.S. За видео спасибо каналу Good Game.