API Errors Discord – это достаточно распространенная категория ошибок, возникающих во время авторизации в приложении мессенджера. И в основном они связаны со сбоем, произошедшем на стороне разработчиков и серверов. Как правило, вины пользователей в подобных неполадках нет, а появляться они могут по разным причинам.
Например, из-за слишком большой нагрузки, технических работ и попросту случайного бага. Но, как показывает статистика, программисты Дискорда быстро принимают меры для устранения ошибок и возвращают сервису былую работоспособность. Однако предлагаем ознакомиться с основными проблемами и способами их решения.
API Errors в Discord – какие бывают и почему возникают?
По доступной в интернете информации становится понятно, что API Errors – это ошибки, которые возникают во время авторизации в приложении мессенджера. И, что самое интересное, столкнуться с ними можно как на компьютере, так и на мобильном устройстве.
На самом деле существует несколько категорий багов, но наиболее часто встречаются только две:
Баги в Дискорде Би Лайк…
Именно их мы и будем рассматривать, а также разбираться, как исправить ситуацию и пофиксить баг. И в любом случае, когда произошла API Errors в Дискорд, рекомендуем перейти по следующей ссылке – https://discordstatus.com/. Это официальный сайт, который используется для отслеживания сбоев. Если они имеются, то вы увидите соответствующую информацию.
Произошла ошибка API – что делать?
И первым делом нужно отметить, что самостоятельно устранить API Errors в Discord практически невозможно – от вас они попросту не зависят.
А если во время авторизации вы видите уведомление о проблеме, то нужно всего лишь дождаться ее решения. Как правило, глобальные сбои разработчики устраняют в кратчайшие сроки, но иногда на это уходит несколько часов. Но наиболее часто пользователи задают вопрос: Elevated API Errors в Дискорд – как исправить?
Уязвимость в Discord позволяла удаленно выполнить произвольный код
Рекомендуем почитать:
Xakep #288. Неправильные эльфы
- Содержание выпуска
- Подписка на «Хакер» -60%
Недавно ИБ-исследователь Масато Кинугава (Masato Kinugawa) рассказал в своем блоге, как ему удалось создать работающую цепочку из нескольких уязвимостей (и эксплоитов для них), ведущую к удаленному исполнению произвольного кода в «настольной» версии мессенджера Discord.
Первую проблему эксперт обнаружил во фреймворке Electron, который используется десктопной версией Discord. Хотя сам Discord не является опенсорсным приложением, код JavaScript, который использует Electron, сохраняется локально и может быть извлечен и исследован. Именно так исследователь выяснил, что для одной из настроек (contextIsolation) в Electron для Discord было установлено значение false, и это обстоятельство позволяло внешнему JavaScript-коду влиять на код внутренний, к примеру, функцию Node.js.
ВСЕ БАГИ и ФИШКИ DISCORD !? Странные ОШИБКИ ДИСКОРД в ОДНОМ ВИДЕО
«Подобное поведение опасно, так как Electron позволяет JavaScript-коду за пределами веб-страниц использовать Node.js независимо от nodeIntegration, что в итоге может привести к удаленному выполнению произвольного кода, даже если для nodeIntegration установлено значение false», — пишет Кинугава.
Так как теперь исследователю понадобился способ выполнения JavaScript в приложении, это привело его к обнаружению XSS-бага в iframe, используемом для отображения видео в чате (срабатывает, если в чат вставляют ссылку, например, из YouTube). Таким образом Кинугава добрался до Sketchfab, решения предназначенного для просмотра 3D-контента. Sketchfab внесен в белый список Discord и может быть встроен в iframe, а при этом можно эксплуатировать DOM XSS-баг.
Однако этот баг позволял исследователю выполнять JavaScript в iframe, но не выполнить код в самой десктопной версии Discord. В итоге, пытаясь развить свою атаку дальше, Кинугава обнаружил способ обхода ограничений в Electron, связанный с событием will-navigate. Данная уязвимость получила идентификатор CVE-2020-15174. В сочетании с двумя другими багами, описанными выше, она наконец позволила специалисту осуществить RCE-атаку на Discord.
Эксперт передал результаты своих изысканий в официальную программу bug bounty Discord, и в настоящее время разработчики уже отключили встраивание Sketchfab и добавили песочницу для iframe. Масато Кинугава получил от Discord вознаграждение за обнаруженные уязвимости в размере 5000 долларов США, а также получил еще 300 долларов от авторов Sketchfab за обнаружение XSS.
Источник: xakep.ru
VIDEOMiN .NET
03:31
автор: Videomax 44680924 просмотров
03:17
автор: Videomax 3916806 просмотров
03:16
автор: Videomax 1956352 просмотров
05:25
автор: Videomax 3824135 просмотров
