Студент смог загрузить игру Watch Paint Dry на сайт Steamworks без помощи представителей компании.
16-летний парень из Манчестера (Великобритания) проэксплуатировал уязвимости на сайте разработчика Valve и опубликовал на Steam неодобренную компанией игру Watch Paint Dry. Студент Салфордского университета Руби Нилон (Ruby Nealon) обнаружил множество серьезных уязвимостей в коде сайта Steamworks. По его словам, попытки связаться с компанией не принесли успеха.
Нилон завел учетную запись на Steamworks (интерфейс разработчика Valve) и создал базовые внутриигровые карты. Затем студент отправил модифицированные данные HTML-форм на серверы Valve для принятия системой карт, как одобренных редактором. После он изменил свой пользовательский ID на идентификатор сотрудника компании, изменил статус на «одобрено» и добавил игру.
Дальше студент использовал связанный с одобрением карт идентификатор сеанса в качестве идентификатора сеанса для игрового пакета. Данные действия заставили систему принять игру как одобренную. В итоге Нилон смог опубликовать Watch Paint Dry в игровом магазине.
Вскоре представители Valve зафиксировали уязвимость и изъяли игру из Steam. Как сообщили эксперты, теперь безопасность сайта немного усилилась.
На перекрестке науки и фантазии — наш канал