本帖最后由 苦力怕553 于 2023-10-16 21:41 编辑
转载须知转载本帖时须要注明原作者以及本帖地址。
摘要
推特用户 Bogdan💻(@bogdan_kny)发现了 Minecraft Live 生物投票系统的一个漏洞。此漏洞有可能导致用户为三个候选生物的其中一个或多个刷出无限张选票。
漏洞的原理是,用户向 Mojang 的服务器发送自己的投票时,会将投票以列表的形式上传。正常情况下,这个列表只包含一个生物,即用户投票的生物。而若使用技术手段修改上传内容,向该列表中加入多个生物,因为后台没有对该列表的长度进行检查,只要加入的生物在本次投票的三个候选者范围内,就不会拒绝用户上传的内容,而是将其保存。如果 Mojang 简单地将所有收到的选票加在一起得出结果,此漏洞就有可能得到利用,导致用户为生物进行刷票。
该漏洞机理如下图:
漏洞发现者 Bogdan 在生物投票结束后将此问题反馈到了 bugs.mojang.com(WEB-6163),Mojang 目前隐藏了此条漏洞。
来源
@bogdan_kny 描述此漏洞的相关推文:
https://twitter.com/bogdan_kny/status/1713867433084150017
此漏洞在 bugs.mojang.com 上的页面:
https://bugs.mojang.com/browse/WEB-6163
漏洞页面存档:
https://web.archive.org/web/20230930181146/https://bugs.mojang.com/browse/WEB-6163
想了解更多新闻资讯?外部来源以及详细的更新条目追踪我的世界中文论坛 - 新闻资讯板块
转载须知转载本帖时须要注明原作者以及本帖地址。摘要
推特用户 Bogdan💻(@bogdan_kny)发现了 Minecraft Live 生物投票系统的一个漏洞。此漏洞有可能导致用户为三个候选生物的其中一个或多个刷出无限张选票。
漏洞的原理是,用户向 Mojang 的服务器发送自己的投票时,会将投票以列表的形式上传。正常情况下,这个列表只包含一个生物,即用户投票的生物。而若使用技术手段修改上传内容,向该列表中加入多个生物,因为后台没有对该列表的长度进行检查,只要加入的生物在本次投票的三个候选者范围内,就不会拒绝用户上传的内容,而是将其保存。如果 Mojang 简单地将所有收到的选票加在一起得出结果,此漏洞就有可能得到利用,导致用户为生物进行刷票。
该漏洞机理如下图:
漏洞发现者 Bogdan 在生物投票结束后将此问题反馈到了 bugs.mojang.com(WEB-6163),Mojang 目前隐藏了此条漏洞。
来源
@bogdan_kny 描述此漏洞的相关推文:
https://twitter.com/bogdan_kny/status/1713867433084150017
此漏洞在 bugs.mojang.com 上的页面:
https://bugs.mojang.com/browse/WEB-6163
漏洞页面存档:
https://web.archive.org/web/20230930181146/https://bugs.mojang.com/browse/WEB-6163
想了解更多新闻资讯?外部来源以及详细的更新条目追踪我的世界中文论坛 - 新闻资讯板块