“drbrix”于 8 月 9 日在 HackerOne 上报告了该漏洞。但问题的要点是,如果您的电子邮件 ID 包含某些字符串,例如“amount100”,您可以拦截 POST请求您的 Smart2Pay 付款方式并人为地夸大其价值以接收比您实际支付的更多的资金。本质上,您可以为 Steam 钱包资金支付 1 美元,但更改 POST 请求的参数以接收更多金额。
Valve 于 8 月 10 日接受了该报告,对其发布了“严重”严重性评级,并应用了修复程序。该报告表明,虽然仍然可以修改 POST 请求中的参数值,但这不再影响您收到的回报金额。
由于已经在其生产服务器上应用了修复程序,该问题已由 Valve 公之于众。最初将漏洞告知 Valve 的人还获得了 7,500 美元的赏金,因为他们的报告“写得很清楚,有助于识别真正的商业风险”。电子邮件子字符串很重要,因为它被修改以增加资金。例如,如果您的电子邮件包含子字符串“brixamount100”,则可以在 POST 请求中将其更改为“brix&amount=100”以接收更多资金。目前尚不清楚该漏洞是否被积极利用。
文章来源:https://www.qqxiazai.com/news/43616.html
相关下载 |
苹果刚刚发布了修补旧版 iOS 和 macOS 的零日漏洞,以封堵 iPhone 和 Mac 设备的安全隐患。 早些时候,谷歌威胁分析团队的 Erye Hernandez 和 Clément Lecigne、详情>>
面向 iOS、watchOS 和 macOS,今天苹果发布了一个 紧急更新 ,修复了一个重大安全漏洞。 有证据表明该漏洞自今年 2 月以来就被黑客利用,能够在用户没有干预的情况下在设详情>>
原标题:有媒体指出 Steam 平台注册存漏洞,无严格身份验证 IT之家 9 月 16 日消息 近日国家新闻出版署下发《关于进一步严格管理切实防止未成年人沉迷详情>>
每年为了买游戏你得花费多少?绝大部分玩家,想必对于这个问题的答案都难以给出一个清楚的回答。毕竟许多玩家每每遇到Steam促销活动,都会视自己游戏库里一众吃灰的游戏熟视详情>>
本周一,Google发布了适用于 Android 系统的新一轮安全补丁,共计修复了 33 个漏洞。 根据Google官方公告,最大的威胁来自于 Media Framework 漏洞,可能允许本地恶意应用程详情>>
谷歌在 2010 年推出了漏洞悬赏计划(VRP,Vulnerability Rewards Programs),安全人员可向其提交安全漏洞,谷歌也会发放 100 美金到 3 万美金不等的赏金。 近日,谷歌宣布推详情>>
谷歌威胁分析团队指出,在针对西欧政府官员的渗透活动中,SolarWinds 黑客利用了在旧版 iOS 系统中新发现的一个零日漏洞。 周三的这份报告,披露本次攻击还利用了通过领英详情>>
虽然微软准备在今年晚些时候公开发布之前改进新发布的Windows 11 操作系统,但该公司今天发布了一个紧急补丁,以解决当前 Windows 版本中的一个关键漏洞。这家雷德蒙德详情>>
微软上周向所有 Windows 用户发布了一则警告,称其 Windows 后台打印程序存在一个未修补的严重 bug,这一漏洞被称为 PrintNightmare,而且正在被广泛利用。 据提醒,该漏详情>>
微软今天推出了一个紧急 Windows 修复补丁,以修复存在于 Windows Print Spooler 服务中的一个关键缺陷。 该漏洞被称之为“PrintNightmare”,在安全研究人员详情>>
在本月的补丁星期二活动日中,微软面向多个尚处于支持状态的功能更新发布了累积更新。面向 Beta 和 Release Preview 频道用户,微软发布了适用于 Windows 10 21H1 功能更详情>>
原标题:八零九零的童年经典动画配音,漏洞百出,孩子们却只认这个味儿? 现在看外国文化作品,更追求的是原声,但其实80后、90后都是听着“稀奇古怪”的译制详情>>
《Apex英雄》第9赛季最近上线,而随之而来的也是一些全新的游戏漏洞。最近有玩家利用一些漏洞卡进游戏内的一些石头里,在这些石头里的玩家不会受到任何敌人攻击的伤害。这详情>>
Adobe在周二发布了一系列补丁,包含12个不同应用程序的安全更新。其中一个最常见应用程序,即Adobe Reader的漏洞目前正被积极利用。据Adobe称,Adobe Acrobat和Reader的其详情>>
《Apex英雄》第9赛季最近上线,而随之而来的也是一些全新的游戏漏洞。最近有玩家利用一些漏洞卡进游戏内的一些石头里,在这些石头里的玩家不会受到任何敌人攻击的伤害。这详情>>
在今天发布的 macOS Big Sur 11.3 更新中,苹果修复了可能允许攻击者绕过 Mac 安全机制的漏洞。 援引外媒 TechCrunch 报道,该软件漏洞允许攻击者创建一个可以伪装成文详情>>
“秘密俱乐部(The Secret Club)”是一个逆向工程团体,他们在推特上公布了其团队成员Florian两年前发现的存在于《反恐精英:全球攻势》的重大漏详情>>
谷歌 Project Zero 安全团队今天对 漏洞披露指南 进行了调整, 为每次安全漏洞披露增加了 30 天的缓冲期,这样终端用户就有足够的时间来修补软件,防止这些漏洞被攻击者利详情>>
对于普通用户来说,本月补丁星期二活动发布的 Windows 10 累积更新并没有什么新的内容,主要是对系统安全性进行优化。不过对于 Windows 和 Microsoft Exchange 管理员来详情>>
随着人们掌握的安全漏洞知识越来越多,随之而来的则是越来越多的漏洞被发现和利用。 据外媒报道,近日, 谷歌的互联网安全团队“Project Zero”披露了2020年详情>>
据外媒报道,Instagram 的一个漏洞意外引发了更多用户的点赞被隐藏。实际上,Instagram 一直在测试隐藏点赞数这一功能。但是这次的 bug 使得 “测试”人数增加详情>>
原标题:剑网3运营漏洞被找到?白嫖绝版称号,老玩家狂喜:明年继续 前段时间,《剑网3》制作人郭炜炜被推上微博之夜榜上第一的事情引发了热议。事实上2019详情>>
原标题:剑网3运营漏洞被找到?白嫖绝版称号,老玩家狂喜:明年继续 前段时间,《剑网3》制作人郭炜炜被推上微博之夜榜上第一的事情引发了热议。事实上2019详情>>
原标题:剑网3运营漏洞被找到?白嫖绝版称号,老玩家狂喜:明年继续 前段时间,《剑网3》制作人郭炜炜被推上微博之夜榜上第一的事情引发了热议。事实上2019年详情>>
赛博朋克2077的新1.1大补丁程序本周早些时候引入了一个打破游戏性的错误,现在,开发人员CD Projekt Red正在对其进行修复。今天,在PC,Stadia和Xbox / PlayStation控制台上详情>>
《赛博朋克2077》热修复 1.12 现已在 PC 平台实装,本次更新解决了可能被用于执行远程代码的漏洞。 详情>>
昨晚,CDPR的官方微博宣布推出《赛博朋克2077》1.12热修复补丁,这个补丁现已在PC平台实装。该更新主要解决了可能被用于执行远程代码的漏洞(包含存档文件)详情>>
苹果最新发布的 iOS/iPadOS 14.4 更新中包含了对三个零日漏洞的修复,该公司认为这些漏洞可能会被黑客利用,推荐用户尽快升级。苹果在一份安全更新文件中表示,这三个漏洞详情>>
育碧于上周五对旗下战术射击游戏《彩虹六号:围攻》进行了热修。根据外媒PC Gamer报道,《彩虹六号:围攻》在早前曝出了新漏洞。这个漏洞可以让玩家在未被详情>>
在《赛博朋克2077》游戏中有着非常多的智力专长可供玩家选择,漏洞专家就是一个被动智力专长,效果是解锁稀有快速破解,下面便是小编为大家带来的《赛博朋克2077》漏洞专家介绍详情>>
谷歌 Project Zero 团队近日披露了存在于高通 Adreno GPU 的“高危”安全漏洞,不过目前高通已经发布补丁完成了修复。这个漏洞和 GPU 共享映射的处理方式有详情>>
摘要: 数百万智能家居和物联网设备所使用的基础开源软件被曝光存在大量漏洞,意味着你家中的智能设备就可能因这些漏洞而受到黑客攻击。 网络安全公司 Forescout 今日披详情>>
目前苹果所销售的产品中,包括Mac、iPhone、iPad 、Ap详情>>
今天微软发布了新的Windows 10 更新 ,修复的是高危漏洞,官方还是力荐用户去升级的。 微软发布了适用于 Windows 10 Version 2009(更新 下载 )/2004(更新 下载 )/19详情>>
原标题:VG乐言面临永久禁赛,职业选手带头用漏洞恶意上分!姿态点名开撕 VG乐言面临永久禁赛,职业选手带头用漏洞恶意上分!姿态点名开撕 VG战队的打野小乐详情>>
ZDNet 报道称,谷歌在过去三周时间内,修复了影响 Chrome 浏览器的五个凌日漏洞。 在今日发布的 Chrome 86.0.4240.198 版本中,就包括了最新的两个。 据悉,此前的三个零日漏详情>>
原标题:阴阳师:新式神千姬嫉恨铃鹿御前?剧情漏洞百出,玩家却看爽了! 大家好我是阿凉。 自从京都决战结束后,阴阳师的整体剧情就局限在了海国篇章里面。 详情>>
原标题:阴阳师:新式神千姬嫉恨铃鹿御前?剧情漏洞百出,玩家却看爽了! 大家好我是阿凉。 自从京都决战结束后,阴阳师的整体剧情就局限在了海国篇章里面。 详情>>
今天微软发布了两个不定期的例外(Out-of-Band)安全更新,重点修复了 Windows Codecs 库和Visual Studio Code 应用中的安全问题。 这两个例外安全更新是本月补丁星期二活详情>>
原标题:理性讨论:《秦时明月》最新集是否漏洞百出?田言之母或许未死! 心心念念,心心念念,《秦时明月》第六部终于露面。 恍然间,“君临天下”似乎仍在眼详情>>