Стрелками отмечены элементы, реализованные как интернет-страница
Сейчас Филип Суфичи опубликовал матерьял с исследованием PUBG, в ходе которого было установлено, что главное меню подвержено XSS-атаке. Вообще все дело в отсутствии защиты передаваемых данных от посетителя к серверу, потому трафик просто подменить. Как отмечает Филип, чтоб использовать эту дыру на компе клиента конечно уже должна быть вредная программа либо через MitM-атаку. И если в первом случае незащищённость головного меню куда наименьшая проблема, то во втором в зоне риска находятся те, кто играет буквально через Wi-Fi соединение (вне зависимости от защищённости соединения, в связи с последними новостями об уязвимости в шифровании WPA2) либо если соединение потенциально нельзя доверять. Таким образом разрешено подменить страничку и отправить, к примеру, фейковую форму ввода логина/пароля.
Пример подменённой странички
Что поболее важно, про эту уязвимость знают конечно уже 6 месяцев и её до сих пор не поправили.
Посмотреть на главное меню из браузера разрешено здесь. В статье также приведён Proof-of-Work данной уязвимости. В теории, защитить от замены может VPN, шифрующий трафик от и до посетителя.
#battlegrounds #решето