安全研究者发现 Steam 漏洞获 7500 美元奖励金

　　近期一位名叫 @drbrix 的安全研究者在HackerOne 平台报告了 Steam 的充值漏洞问题。该漏洞可被黑客利用实现无限数额的“虚假充值”，破坏正常交易规则。

　　具体而言，黑客先对自己的 Steam 账户邮箱地址添加 “amount100”词组，并在充值 Steam 钱包时选择 Smart2Pay(一家提供网上支付服务的荷兰公司)作为支付渠道，再拦截相应的网络通信请求，之后黑客就可以修改请求信息，随意虚构充值数额。

　　在 drbrix 报告漏洞后，Valve 官方将该漏洞危险等级标识为“严重”并迅速修复。作为答谢，Valve 向 drbrix 支付了 7500 美元奖励金。

发表评论：

用户名:

密码:

匿名评论

• 评论

人浏览,条评论