A A+ A++

Co tam darmowe gry na platformie Epic Games, Steam miał lukę, która sprawiała, że gracze mogli za darmo nabyć praktycznie całą bibliotekę tej popularnej platformy PC. 

Chociaż sklep Epic Games Store stara się jak może, by przyciągnąć graczy na swoją stronę, choćby za sprawą regularnie rozdawanych darmowych gier, to jednak Steam wciąż jest preferowaną platformą dla większości graczy na PC. Wynika to z kilku powodów, w tym faktu, że jest bardziej dojrzałą platformą, regularnie oferuje duże wyprzedaże i ma ogromną bibliotekę gier w swojej ofercie. Co jednak najważniejsze, bardzo duża część graczy nie chce rozdrabniać się na kilka platform i przyzwyczaiła się już do Steam, które jest najdłużej na rynku. Co więcej, okazuje się, że ​​Steam miał błąd, który pozwalał użytkownikom dodawać nieograniczone środki do ich portfeli. I to jest argument, z którym trudno dyskutować 🙂

Steam miał lukę, która sprawiała, że gracze mogli załadować nielimitowane środki do swojego portfela.

Luka została zgłoszona przez „drbrix” na HackerOne 9 sierpnia. Zainteresowani mogą zagłębić się w szczegóły w tym miejscu, ale w dużym skrócie jeśli ktoś posiada identyfikator e-mail zawierający pewne ciągi, takie jak „amount100”, może przechwycić żądanie POST do swojej metody płatności Smart2Pay i sztucznie zawyżyć jej wartości, aby otrzymać więcej środków, niż faktycznie zapłacił. Tym samym można załadować portfel Steam kwotą 1 zł, ale zmienić parametry żądania POST, aby zamiast tego otrzymać więcej pieniędzy na swoje konto.

Steam Deck – nadzieje i obawy związane z konsolą przenośną od Valve

Valve zaakceptowało zgłoszenie błędu 10 sierpnia, przyznało mu ocenę „krytyczną” i zastosowało już poprawkę. Raport wskazuje, że chociaż nadal można zmienić wartość parametru w żądaniu POST, nie ma to już wpływu na kwotę, którą otrzymamy w zamian. Problem został upubliczniony przez Valve po zastosowaniu poprawki na serwerze produkcyjnym. Osoba, która początkowo poinformowała Valve o exploitie, została również nagrodzona nagrodą w wysokości 7500 dolarów, ponieważ jej zgłoszenie było „jasno napisane i pomocne w identyfikacji realnego ryzyka biznesowego”. Podciąg wiadomości e-mail był tu o tyle istotny, że mógł być zmodyfikowany w celu zawyżenia środków. Na przykład, jeśli nasz adres e-mail zawiera podciąg „brixamount100”, można było go zmienić na „brix & amount= 100” w żądaniu POST, aby otrzymać więcej środków. Obecnie nie jest jasne, czy błąd był aktywnie wykorzystywany.

Zobacz także:





Oryginalne źródło: ZOBACZ
0komentarze
0
Udostępnij na fb
Udostępnij na twitter
Udostępnij na WhatsApp

Oryginalne źródło ZOBACZ

Subskrybuj
Powiadom o

Dodaj kanał RSS

Musisz być zalogowanym aby zaproponować nowy kanal RSS

Dodaj kanał RSS
0 komentarzy
Informacje zwrotne w treści
Wyświetl wszystkie komentarze
Poprzedni artykułNowy wiadukt połączy Piotrków i Rokszyce
Następny artykułTVN24 uzyskał zagraniczną koncesję. Pozwoli na nadawanie w Polsce po 26 września