Chiphell - 分享与交流用户体验

 找回密码
 加入我们
搜索
      
查看: 5000|回复: 11

[游戏电玩] Steam曾出现重大Bug:可导致所有游戏CD秘钥泄露

[复制链接]
发表于 2018-11-9 15:46 | 显示全部楼层 |阅读模式
原文链接:https://www.ithome.com/0/393/879.htm


乌克兰漏洞研究员发现了一个Steam的Bug,这个Bug允许他下载Steam游戏平台提供的所有游戏激活密钥(也称为CD密钥)。



该漏洞由Artem Moskowsky发现,存在于Steamworks中,该平台是Valve帮助开发人员通过其Steam游戏客户端构建和发布游戏的平台,Moskowsky在位于partner.steamgames.com/partnercdkeys/assignkeys/的Steam网络API中发现了该漏洞。这是一个API,允许游戏开发商或附属公司检索可供Steam用户使用的CD密钥,以便他们的用户可以激活通过Steam客户端安装的游戏。


Moskowsky说,在正常情况下,当他试图检索他没有拥有的游戏的CD密钥时,Steam的API给了他一个错误,这是正常的。但他发现,通过将keycount参数设置为“0”,他可以绕过API的限制并检索属于任何游戏的CD密钥的文件,即使用户不应该访问该游戏的CD密钥集合。在通知Steam之前,他测试发现,能够得到Portal 2游戏的36,000个CD密钥。


此外,他还意识到攻击者可以浏览所有Steam游戏ID并下载所有CD密钥,因为appid和keyid参数很容易猜到。Moskowsky通过Valve的HackerOne bug赏金平台向Valve报告了该漏洞,获得了20,000美元的奖励,这是Steam平台迄今为止支付的最大漏洞奖金之一。Valve在几天内修复了该漏洞,但最近才让他公开了他的调查结果。


目前还不清楚是否有其他人在Moskowsky之前曾发现或利用过这个漏洞。


评分

1

查看全部评分

 楼主| 发表于 2018-11-9 15:48 | 显示全部楼层
G不三表示很淡定:无所谓,你不就是白玩了我家平台上的2个游戏嘛
发表于 2018-11-9 16:32 | 显示全部楼层
额 20000美金。。。
发表于 2018-11-9 16:38 | 显示全部楼层
风天使 发表于 2018-11-9 16:32
额 20000美金。。。

2w刀应该算有诚意了吧
发表于 2018-11-9 16:53 | 显示全部楼层
2W刀,对这个能力级别的来说不多,重在表达诚意吧
发表于 2018-11-9 16:59 | 显示全部楼层
但是cdk有了,游戏内购才是重点
发表于 2018-11-9 17:45 | 显示全部楼层
在中国的话, 应该是报警抓起来了吧....
发表于 2018-11-9 18:11 | 显示全部楼层
又出现重大Bug
发表于 2018-11-9 20:12 | 显示全部楼层
bichxi 发表于 2018-11-9 16:59
但是cdk有了,游戏内购才是重点

好多游戏的DLC其实也是个游戏 买个全家桶也值了
发表于 2018-11-10 00:03 | 显示全部楼层
天线88 发表于 2018-11-9 16:38
2w刀应该算有诚意了吧

如果不告知,直接放上榜,损失会很大,这样一比……我觉得5WD是个比较好的价
发表于 2018-11-10 04:47 | 显示全部楼层
我以前摸到过一个 可以随机登录一个QQ的BUG
在QQ会员的官网里

登录后可以直接转到其他任意QQ网站 自动登录。。
提交给了TX客服 然后说我们记录了 然后就没有然后了
现在想想那个持续了大概一周才修复的BUG 要是公布了会咋样 233

发表于 2018-11-10 07:02 | 显示全部楼层
maoxingliang52 发表于 2018-11-10 04:47
我以前摸到过一个 可以随机登录一个QQ的BUG
在QQ会员的官网里

可以,这很腾讯。
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

小黑屋|手机版|Archiver|Chiphell ( 沪ICP备12027953号-5 )沪公网备310112100042806

GMT+8, 2018-11-15 20:41 , Processed in 0.015087 second(s), 14 queries , Gzip On, MemCache On.

Powered by Discuz! X3.1

© 2007-2017 Chiphell.com All rights reserved.

快速回复 返回顶部 返回列表