Valve исправила уязвимость, с которой можно было пополнить свой кошелёк Steam на неограниченное количество средств
Valve исправила уязвимость, с которой можно было пополнить свой кошелёк Steam на неограниченное количество средств
308308

Комментарий недоступен

87

1)Потому что это достаточно примитивный судя по описанию баг

2)amount это не просто фраза это название атакуемого поля

3)есть работа такая уязвимости и баги искать, за это деньги платят.

61

так чтобы найти этот баг недостаточно иметь почту с «amount100», нужно еще подделать пост-запрос, отправленный к определенной платежной системе. Скорее всего имел доступ к соответствующей части кода, после изучения которого и смог эту уязвимость воспроизвести

49

Скорее всего слил кто-то из сотрудников. 

2

мб узнал чего из алгоритмов через риверс-инженеринг

1

Комментарий недоступен

1

Почему бы не создать почту с включающий в себя значение «amount100»Там всё довольно забавно. Такая мысль наверняка не возникла на пустом месте, она закономерно появилась после изучения того, как работает API.

Насколько я понял, есть POST-запрос вида "var_a=value1&var_b=value2" и он защищён хешем, при подсчёте которого игнорируются спецсимволы '=' и '&'. Т.е. по факту хеш считается от "var_avalue1var_bvalue2". Поэтому спецсимволы можно убирать и добавлять, и сервер будет считать запрос валидным. Т.е. "var_a=value1" можно превратить в "var=_avalue1" и т.п.

Одним из параметров запроса является e-mail. Поэтому чувак зарегал мыло с "amount100" в адресе, поменял оригинальный "amount=1" на "amount1" (просто пустой аргумент, который будет игнориться), а "[email protected]" заменил на что-то вроде "[email protected]".

Хеш остался прежним (символы на своих местах), а суть запроса изменилась.

1

Если писал хоть раз запросы и апи понимаешь как они все работают, а работают они одинаково примерно, поэтому просто думаешь как бы сделал ты такой код и понимаешь, как работает чужой код. А дальше два пути мотивации заработать за поиск бага или набаблить с помощью него, или и то и другое.