※ 引述《smallcountry (冰鋒冷劍)》之銘言： : 本文轉載不須告知，感謝置底聊天區板友提供的消息。 : 雖然這是Reddit上消息來源，但是他由Steam Moderator發布，使用新聞標題。 : https://redd.it/5skfg4 : 巴哈的討論應該比較清楚 : https://forum.gamer.com.tw/C.php?bsn=60599&snA=13091&tnum=2 : ============================================================================== : 原文大意是說： : 這項漏洞已經回報Valve，應該很快會被修正。 : 目前的Steam個人檔案頁面存在安全漏洞， : 只要你進入別人可疑的(真實的)Steam個人檔案頁面時立即可能遭到感染。 : 所有裝置的瀏覽器目前都受到影響。 : Do NOT click suspicious (real) steam profile links and : Disable JavaScript on Browser. : 目前的建議不要點擊任何進入可疑的(真實的)Steam個人檔案頁面網址連結， : 且停用瀏覽器的JavaScript。 那串討論回文是我 以下都是推測，不過我覺得可能性很大，巴哈那邊我就不詳述了 我剛查看一下，為什麼點進『別人』個人首頁會受到釣魚網站的『攻擊』(非感染) 根據巴哈另一篇文章有教學如何在個人首頁播放Youtube的音樂 1.建立一篇攻略，標題要使用html語法『iframe』(重點)連結至Youtube(或任何連結) 2.使用『我的指南』展示欄，並將第一篇攻略擺上去 3.V社沒有檢查將html語法去除 4.個人頁面「我的指南」的iframe被執行，建立出框架並連結至Youtube→ Youtube自動播放→達成個人首頁自動播放音樂 iframe是幹麻的?Html語法中iframe是一種內置框架，能在網頁中在放置另一個網頁 漏洞是在V社檢查文章標題時，沒有將html語法去除 接下來就好玩了，iframe的語法可以拿來做啥? 搭配上JavaScript，可以做到自動轉址 你可能第一次進去是看到正常的個人網頁，但是因為iframe透過JS自動連結到釣魚網頁 你可能看到畫面閃一下就跳回登入畫面(釣魚網頁)， 以為要重新登入，就輸入帳號密碼&驗證碼。 這時候釣魚網站就取得你的帳號、密碼及1分鐘內的驗證碼， 只要用自動化程式來自動登入，神不知鬼不覺就登入你的帳號。 不過因為V社交易系統的關係，物品庫的損失可以不計，頂多被刪掉 受害者有用手機驗證，因為要用手機再次確認，所以無法交易 受害者沒用手機驗證或E-mail驗證，因為有託管系統，即時發現的話傷害也能避免 比較大的問題在於，如果你有錢包餘額或是有登錄信用卡 透過『送禮』的方式，會造成實際上的損害(送禮不受30天交易限制) 黑客可以透過送禮榨乾錢包&刷爆信用卡、修改Steam密碼來達成拖延時間， 再將透過G2A、Eaby等拍賣網站，將禮物賣到第三方善意人士手上 ============================================================================ 受害者變成加害者 ============================================================================ 利用自動化機器人，用你的個人頁面，再次創造出上述漏洞 透過你的好友系統聊天，四處傳播，而且因為是『真正的Steam社區』的網址 所以V社網頁偵測也無法偵測是否為偽造、假、高風險網站 所以現在建議任何版友不要去點任何個人網頁，並且將JS確實關閉 因為這次漏洞更嚴重點，如果iframe 包的不是釣魚網站而是勒索病毒呢? -- 約書亞：『艾絲蒂爾要上了喔!』 艾絲蒂爾：『OK!交給我吧!』 約&艾 ：『喔!啊啊啊啊!!!』 艾絲蒂爾：『奧義!太極無~~按二下!』 by 零之軌跡 約書亞&支援科眾人：『..........』 一段翻譯姬的美麗誤會 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.117.104.190 ※ 文章網址: https://www.ptt.cc/bbs/Steam/M.1486483549.A.CEF.html ※ 編輯: k70709 (122.117.104.190), 02/08/2017 00:12:51