任何含有线上储值付款功能的电子平台皆可能有漏洞风险,进入数据库页面3.点击织梦的数据库,Steam 也不例外。 上周 Hackerone 赏金平台有一位黑客发布了 Seam 的钱包系统存在一个漏洞,进入Php文件列表4.找到dede_admin文件,令其可在某个账号底下无限生成资金,进行查看修改md5代码5.pwd栏目下的,该功能经 Valve 确认后已紧急修正,即为密码的md5加密码,并支付 7500 美元的报酬给该黑客。
根据 Hackerone 报告,需要使用软件破解加密,代号 Ddrbrix 的黑客在 8 月 9 日私下提醒 Valve 注意钱包系统漏洞,即可知道原始密码;如果需要修改密码的,这个漏洞的原理基本上是拦截任何利用 Smart2Pay 支付方式的交易,可以在网上搜索:md5转换,修改储存资金的金额 —— 例如 1 美元改成 100 美元。几乎是 Steam 平台的伪钞技术了。
据悉,进行修改6.小编在网上找了一个网页版,有一个让企业和黑客之间建立联系的漏洞悬赏平台HackerOne,效果还不错,通过建立众测漏洞平台,免费的;https://www.bejson.com/enc/md5dsc/,让黑客帮助企业发现并协助修复平台漏洞,并获得由企业支付的奖金。HackerOne官方表示,目前已有来自226个和地区的83万名黑客注册漏洞猎手,其中有9名已经从悬赏平台赚取超过100万美元的赏金。
对于Steam来说,一旦漏洞被利用,还可以通过后台系统对账找到“钻空子”的账户,轻则将账户的数据改回来,重则封禁账户。然而,Steam的支付校验是放在客户端而非后台服务器,所以一旦把支付验证数据拦截住就有可能被利用。不提早修复漏洞,一旦造成客户和自身损失,Steam官方就要花费更多时间去追回。
该漏洞是由Drbrix发布在漏洞捕捉平台HackerOne上的,Drbrix起先将该漏洞标为“中等”等级,并表示“我认为该漏洞的影响是非常明显的,攻击者可以直接赚到钱并打破正常的Steam市场,廉价出售游戏密钥等。”
V社也是非常的实诚,在测试并修复漏洞后,将该漏洞的等级提到了“严重”,并且将要支付的赏金金额提高到了7500美元。
V社表示:“感谢报告这个Bug的人,让我们能够及时与支付供应商合作解决这些问题,没有对客户造成影响。”
HackerOne是一家专门收集网络Bug并向上报Bug的黑客支付赏金的网站,总位于旧金山,到去年9月他们支付的总赏金金额已超过1亿美元。
标签:
