2013年8月2日 星期五

入侵取得遊戲主機服務商的控制權

入侵取得遊戲主機服務商的控制權

HostedGameServers 是一家代管遊戲主機的網路服務商,其最著名的代管遊戲就是"當個創世神(Minecraft)"。

其在 2013/2/16 被 Anonymous 組織於 Twitter (https://twitter.com/YourAnonNews/status/302711952944267264)上公佈取得其資料庫內帳號、密碼、E-Mail等相關資料外洩。

公布帳號密碼的網址(已經移除):http://pastebin.com/kLv9gFWx

而經過了4個月之後本影片作者試圖利用當時已經被暴露出來的相關帳號、密碼,搭配簡單的"忘記密碼"的社交工程,進行近一步取得該遊戲主機商的管理者帳號權限。沒想到依然可以完成入侵步驟。

設計不良的"忘記密碼"功能網址:http://hgspanel.hostedgameservers.com/

聲明啟事:
原作者影片發佈時該遊戲網站已經修正漏洞,至於補得好不好就不知了。



轉載自《網路攻防戰》