安全人士发现 Steam“改余额”漏洞

发表于:2021-8-17 09:21

字体: | 上一篇 | 下一篇 | 我要投稿

 作者:问舟    来源:IT之家

#
漏洞
#
Steam
分享:
  网络安全研究人员 @drbrix 发现了一个 Steam 的钱包余额的 bug,随后将其反馈给 Valve。后者在@drbrix 的帮助下成功修复了这一 Steam 的充值漏洞问题。
  如果你的帐户(电子邮件)包含“amount100”,然后通过任意方法拦截发送给 Smart2Pay API 的数据,就可以任意修改你 Steam 钱包里的余额,无论是 100 美元还是 1 美元。
  在 @drbrix 发现漏洞后,Valve 官方将该漏洞危险等级标识为“严重”并迅速修复。作为答谢,V 社向他奖励了 7500 美元的感谢金。
  他表示:" 我认为(这个 bug)影响非常明显,黑客可以以此赚钱并破坏正常市场规律,甚至以低廉的价格出售游戏兑换码等。
  据悉,HackerOne 是一家专门收集网络 Bug 并向上报 Bug 的黑客支付赏金的网站,总部位于旧金山,到去年 9 月他们支付的总赏金金额已超过 1 亿美元。
  Valve 则表示 " 多亏了这种人,我们才能够与支付机构一起解决问题,从而避免为客户造成损失。但双方都没有说明此前是否有人真正利用率这一漏洞。

      本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
《2023软件测试行业现状调查报告》独家发布~

关注51Testing

联系我们

快捷面板 站点地图 联系我们 广告服务 关于我们 站长统计 发展历程

法律顾问:上海兰迪律师事务所 项棋律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2024
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪ICP备05003035号

沪公网安备 31010102002173号