La popular plataforma de juegos en línea Steam va a solucionar una seria vulnerabilidad que podría ser explotada por los hackers para redirigir a los usuarios a sitios web maliciosos, utilizar sus fondos de mercado y también cambiar su perfil.




Cuando usted está desarrollando un sitio web que almacena cualquier información proporcionada por los usuarios, entra en una base de datos. La seguridad básica exige que NUNCA confíes en los datos proporcionados por el usuario, debe filtrarse en un formato seguro antes de que llegue a la base de datos, protegiéndolos de la inyección de código, XSS (Cross-Site Scripting) y otros problemas.

Debido a que la apertura era títulos de guía, era una solución muy simple: detener los títulos de guía que se inserta tal como está de lo creado por el usuario original. Cuando se crea un marcado HTML, se utiliza <> para designar lo que es un elemento, pero si desea que esos símbolos sean sólo texto, entonces los cambia a sus valores de Entidad HTML, por lo que se convierte en & gt ;, en PHP por ejemplo es tan simple como

 htmlspecialchars($title);

Valve sopluciona una seria vulnerabilidad en la plataforma de juegos online de Steam

La plataforma de juegos en línea Steam está arreglando un error grave que podría explotarse para redirigir a los usuarios a sitios web maliciosos y hacerse cargo de su perfil.

Parece que la explotación de XSS en Steam Profiles ha sido sólo parcialmente fijada, parece que la falla se ha fijado sólo las páginas de alimentación inicial, pero sigue estando presente en las páginas siguientes.

• https://www.reddit.com/r/Steam/comments/5smjle/an_xss_exploit_on_steam_profiles_has_been_fixed/

Los atacantes pueden explotar la falla insertando JavaScript y otro código malicioso en sus perfiles, entonces el código se ejecuta sin ninguna advertencia en los equipos de cualquiera que visite la página atrapada.

La vulnerabilidad se informó por primera vez en un hilo Reddit esta semana y los expertos observaron que en pocas horas después de su divulgación muchas personas creaban perfiles que contenían el código para activar la vulnerabilidad.

• https://www.reddit.com/r/Steam/comments/5skfg4/warning_regarding_a_steam_profile_related_exploit/

Según Ars, la mayoría de las páginas explotan simplemente redirigir a los visitantes a un sitio con código PHP que les pide que descarguen un archivo desconocido.

"Tales redirecciones, sin embargo, son posiblemente sólo una pequeña muestra de lo que la vulnerabilidad subyacente hace posible. Un participante de Reddit dijo aquí y aquí que la visualización de perfiles maliciosos podría obligar a la gente a hacer compras con sus fondos del mercado de vapor ", informó el Ars.

Claramente, la falla en la plataforma de Steam también podría explotarse para robar las cookies de autenticación usadas y controlar las cuentas de usuario de los visitantes.

Se espera que el número de perfiles infectados crezca rápidamente porque es suficiente que los usuarios visiten un perfil malicioso existente.

La plataforma Steam ya fue explotada por los hackers en el pasado para lanzar ataques cibernéticos. En octubre de 2016, el investigador de malware Lawrence Abrams descubrió un usuario de Reddit que está advirtiendo de la existencia de cuentas de Steam piratas utilizadas para difundir un troyano de acceso remoto (RAT).

En marzo de 2016, el experto en seguridad de Kaspersky Lab, Santiago Pontiroli, y Bart P, investigador independiente de seguridad, publicaron un interesante análisis del malware dirigido a la plataforma de juegos de Steam y la evolución de las amenazas a lo largo de los últimos años,

Valve calculó que cerca de 77.000 cuentas son secuestradas y saqueadas cada mes.

De nuevo al presente, los usuarios de Steam que piensen que pueden haber visitado un perfil malicioso desean comprobar sus ajustes y deben cambiar sus contraseñas. Siempre sugerimos también para permitir la autenticación de dos factores para evitar sorpresas feas.

Lo que sucedió aquí es que los títulos de Steam Guide se almacenaron exactamente como se ingresaron, y luego cuando mostraba estas guías en su "Mi Showcase" en su perfil, se incluiría exactamente como lo escribió originalmente, directamente en el marcado de la página . Los títulos tienen un límite de 128 caracteres, pero también se pueden mostrar 4 guías en cualquier momento. Usando este límite de 128 caracteres, podría decirle a un navegador que evalúe el texto en otro lugar como si fuera código JavaScript y, por lo tanto, eludir este límite.

Debido a que el sitio web de Steam depende significativamente de JavaScript, es casi una garantía de que cualquier usuario que navega por el perfil tiene habilitado, por lo que podría ser abusado de forma fiable.

Fuentes:
https://www.reddit.com/r/Steam/comments/5srlwd/the_steam_community_exploit_explained_indepth_by/
http://securityaffairs.co/wordpress/56090/hacking/steam-fixing-xss.html