所有CD密钥均可下载!Steam平台被曝曾出现重大Bug

   日期:2021-01-29     文章发布:文章发布    网络转载:生活号    
核心提示:作为目前全球最大的综合性数字发行平台之一,Steam平台在世界各地都拥有大量的忠实粉丝!但据外媒最新消息显示,有一位乌克兰漏洞研究员在该平台中发现了一个允许下载平台上所有游戏激活密钥(也称为CD密钥)的Bug。
移动站源标题:http://mip.818114.com/news/item-10184.html

  11月9日消息 作为目前全球最大的综合性数字发行平台之一,Steam平台在世界各地都拥有大量的忠实粉丝!但据外媒最新消息显示,有一位乌克兰漏洞研究员在该平台中发现了一个允许下载平台上所有游戏激活密钥(也称为CD密钥)的Bug。

  据悉,该漏洞由网络安全人员Artem Moskowsky发现,存在于Steamworks中,该平台是Valve帮助开发人员通过其Steam游戏客户端构建和发布游戏的平台,Moskowsky在位于partner.steamgames.com/partnercdkeys/assignkeys/的Steam网络API中发现了该漏洞。这是一个API,允许游戏开发商或附属公司检索可供Steam用户使用的CD密钥,以便他们的用户可以激活通过Steam客户端安装的游戏。

  Moskowsky说,在正常情况下,当他试图检索他没有拥有的游戏的CD密钥时,Steam的API给了他一个错误,这是正常的。但他发现,通过将keycount参数设置为“0”,他可以绕过API的限制并检索属于任何游戏的CD密钥的文件,即使用户不应该访问该游戏的CD密钥集合。在通知Steam之前,他测试发现,能够得到Portal 2游戏的36,000个CD密钥。

  此外,他还意识到攻击者可以浏览所有Steam游戏ID并下载所有CD密钥,因为appid和keyid参数很容易猜到。

  值得庆幸的是,Moskowsky通过Valve的HackerOne bug赏金平台向Valve报告了该漏洞,并获得了20000美元的奖励,这也是Steam平台迄今为止支付的最大漏洞奖金之一!至于是否有其他人在Moskowsky之前曾发现或利用过这个漏洞,目前还不得而知。

免责声明:本网部分文章和信息来源于互联网,本网转载出于传递更多信息和学习之目的,并不意味着赞同其观点或证实其内容的真实性,如有侵权请通知我们删除!(留言删除
 
 
更多>同类行业

同类新闻
最新资讯
最新发布
最受欢迎
网站首页  |  黄页  |  联系方式  |  信息  |  版权隐私  |  网站地图  |  API推送  |  网站留言  |  RSS订阅  |  违规举报  |  京ICP备2000095号