Недавно запущенная программа bug bounty для Xbox уже приносит свои плоды. Сразу несколько ИБ-специалистов уведомили компанию Microsoft об ошибке на сайте Xbox, которая позволяла связать теги игроков (имена пользователей) с реальными адресами электронной почты.

Одним из специалистов, нашедших проблему, был Джозеф Харрис, и теперь он рассказал подробности о баге журналистам издания ZDNet. Ошибка была связана с порталом enforcement.xbox.com, к которому пользователи Xbox обращаются в том случае, если им нужно проверить страйки, связанных с их профилем, а также подать апелляцию за несправедливое наказание.

Когда пользователь входит на Xbox Enforcement, сайт создает файл cookie в браузере с подробной информацией о веб-сессии, поэтому при следующем посещении сайта не придется проходить повторную аутентификацию.

Харрис объясняет, что cookie этого портала содержит поле ID пользователя Xbox (XUID), которое незашифровано. Используя инструменты разработчика, доступные в любом современном браузере, Харрис сумел отредактировать поле XUID и подменить идентификатор на XUID тестовой учетной записи, которую он создал специально для bug bounty программы Xbox.

«Пытаясь изменить значение cookie, я вдруг понял, что могу видеть email-адреса других [пользователей]», — рассказывает Харрис и демонстрирует видео такой атаки.

В настоящее время разработчики Microsoft уже исправили данных баг, зашфровав значение XUID на стороне сервера. При этом специалисты Microsoft Security Response Center, которые изучают отчеты об ошибках, сообщили изданию, что данная уязвимость не подпадает под bug bounty программу Xbox, но Харриса все же включили в зал славы компании, как одного из соавторов обнаружения проблемы.

1 комментарий

  1. Аватар

    0d8bc7

    27.11.2020 в 05:04

    Использование в кукисах даже зашифрованных ID, именно настоящих ID пользователей для их идентификации, а не временных ключей типа ID сессии — ИМХО, глупость. Сделать это, да ещё и не зашифровать — это надо суметь. Если исследователь помог компании исправить её откровенную ГЛУПОСТЬ — как вообще допустимо говорить, что что-то там не подпадает под bug bounty? А «зал славы» это, наверное, ни о чём. Хотя, может, я ошибаюсь на счёт него? Можете меня поправить. И всё же… Противно видеть такое 🙁

Оставить мнение