启东信息港,一起 看启东
当前位置: 首页 > 新闻资讯  > 

Steam居然还有这种bug!钱包余额可任意修改:随便充钱?

2019-06-28 来源:网络

8月16日,网络安全研究人员@drbrix发现了一个Steam钱包余额的Bug,该漏洞允许用户通过某些特殊手段修改账户里的余额。随后,在drbrix的帮助下,Steam官方很快将该漏洞修复。值得注意的是,直至Bug修复之前,drbrix并没有向Steam官方说明是否有人利用过这一漏洞。据了解,修改余…

8月16日,网络安全研究人员@drbrix发现了一个Steam钱包余额的Bug,该漏洞允许用户通过某些特殊手段修改账户里的余额。随后,在drbrix的帮助下,Steam官方很快将该漏洞修复。值得注意的是,直至Bug修复之前,drbrix并没有向Steam官方说明是否有人利用过这一漏洞。

据了解,修改余额的方法不是很难,如果用户的账户(电子邮件)包含“amount100”,通过任意方法拦截Steam发送给Smart2Pay API的数据,就可以任意修改Steam钱包里的余额,不论多少。

该漏洞被发现后,Steam官方立马将该漏洞标为“严重”等级并迅速修复,并奖励drbrix 7500美元。他表示,这个Bug一旦被黑客发现,就可以通过利用漏洞低价出售各种游戏的兑换码等方式赚钱,破坏正常的游戏市场环境。

事实上,不少互联网企业都担心自己的平台漏洞被黑客利用,造成财产损失。不过,并不是所有黑客都是图谋不轨的角色,有些黑客希望通过和企业合作,实现利益双赢,而不是单纯地利用漏洞为自身谋取利益。

据悉,有一个让企业和黑客之间建立联系的漏洞悬赏平台HackerOne,通过建立众测漏洞平台,让黑客帮助企业发现并协助修复平台漏洞,并获得由企业支付的奖金。HackerOne官方表示,目前已有来自226个国家和地区的83万名黑客注册漏洞猎手,其中有9名已经从悬赏平台赚取超过100万美元的赏金。

对于Steam来说,一旦漏洞被利用,还可以通过后台系统对账找到“钻空子”的账户,轻则将账户的数据改回来,重则封禁账户。然而,Steam的支付校验是放在客户端而非后台服务器,所以一旦把支付验证数据拦截住就有可能被利用。不提早修复漏洞,一旦造成客户和自身损失,Steam官方就要花费更多时间去追回。

相关资讯

    暂无相关的数据...