Steam是全世界最大的数字发行平台,拥有超过1亿的活跃用户,但这并不代表它是最安全的。
据外媒pcgamer报道,安全研究人员drbrix帮助Valve发现并修正了一个漏洞,这个漏洞可以伪造无限金钱。
根据drbrix发表在hackerone网站上的报告显示,用户可以首先将电子邮件地址修改为包含“amount100",比如brixamount100abc@xxx.xxx,然后通过Smart2Pay为steam钱包充值。Smart2Pay是一家面向网络商家的荷兰支付公司。
接下来,如果黑客截获了Smart2Pay API的相应POST请求(下图),他们会发现一个可以编辑的响应,以改变支付金额,比如将1美元修改为100美元。
API即应用程序接口,它定义了多个软件中介之间的交互,以及可以进行的调用(call)或请求(request)的种类,用户可以通过各种方式对现有功能进行扩展。
Valve将该漏洞升级为“严重”级别,并且奖励了drbrix 7500美元(折合人民币48588元),以反映潜在成本。
尽管7500美元不是一笔大数字,但也足够买很多游戏了,因此这位小哥并不亏。
Valve的一位发言人表示: “感谢报告这个漏洞的人,我们能够与支付提供商合作解决这个问题,而不会对客户造成任何影响。”
Steam客户端拥有一系列安全保护,包括令牌功能。它可以提供额外一级的安全防护:当你从一台无法识别的设备登录Steam时,需要提供特殊验证码,而这取决于Steam令牌设置而定。
还没有评论,来说两句吧...