Студенту удалось загрузить на Steam неодобренную игру

image

Теги: уязвимость, игра

Студент смог загрузить игру Watch Paint Dry на сайт Steamworks без помощи представителей компании.

16-летний парень из Манчестера (Великобритания) проэксплуатировал уязвимости на сайте разработчика Valve и опубликовал на Steam неодобренную компанией игру Watch Paint Dry. Студент Салфордского университета Руби Нилон (Ruby Nealon) обнаружил множество серьезных уязвимостей в коде сайта Steamworks. По его словам, попытки связаться с компанией не принесли успеха.

Нилон завел учетную запись на Steamworks (интерфейс разработчика Valve) и создал базовые внутриигровые карты. Затем студент отправил модифицированные данные HTML-форм на серверы Valve для принятия системой карт, как одобренных редактором. После он изменил свой пользовательский ID на идентификатор сотрудника компании, изменил статус на «одобрено» и добавил игру.

Дальше студент использовал связанный с одобрением карт идентификатор сеанса в качестве идентификатора сеанса для игрового пакета. Данные действия заставили систему принять игру как одобренную. В итоге Нилон смог опубликовать Watch Paint Dry в игровом магазине.

Вскоре представители Valve зафиксировали уязвимость и изъяли игру из Steam. Как сообщили эксперты, теперь безопасность сайта немного усилилась.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.