Исходя из этого, несколько правил юным исследователям: 1) Не ищи уязвимости в сервисе под основной учёткой 2) Если нет нормального багбаунти и после репорта ничего не исправлено в течении месяца - бери инициативу в свои руки и привлеки внимание к этой проблеме публично (и как можно более анонимно).
"Спустя несколько дней я спросил его, зарепортил ли он это. Он ответил что нет. ... Он в итоге, как и я, об этом кейсе просто забыл."
То есть вы использовали уязвимость, тем самым нарушив правила сообщества, для того что бы протестировать и зарепортить эту же уязвимость. Но после теста вы решили её не репортить, всё верно? А теперь вам прилетел бан за нарушение правил сообщества, потому что вы ПОПРОСТУ ИХ НАРУШИЛИ и вас это возмутило??? Wait WUT? Это как минимум - смешно, как максимум - заслуживает премию дарвина.
Придется в очередной раз пояснить, чем различается ИССЛЕДОВАНИЕ и ИСПОЛЬЗОВАНИЕ (эксплуатация) XSS уязвимости.
Исследование: создаются скрытые в данном случае предметы мастерской. В них проверяется техническая информация вроде политики доменов, лимита символов, взаимодействие с внутренними функциями и т.п. После этого и без того скрытые от посторонних предметы еще и удаляются. Это даже с натяжкой нельзя назвать использованием уязвимости, так как кроме меня самого ни у кого эти скрипты не выполнялись и выполниться не могли. Тем более что там не было ни одного вредоносного скрипта. Возможно ты не знаешь, но любую уязвимость находят не телепатически, она становится реальным кейсом только после того, как ты проверишь ее работоспособность на самом себе либо же тестовом аккаунте. Поэтому специалисты по безопасности называются тестировщиками, а не хакерами по вызову.
Эксплуатация: создаются публичные предметы мастерской. В них инжектится скрипт заведомо опасного характера либо какой нибудь дефейс и проигрывание веселой музычки, ну и как правило скрипт самораспространения, заставляющий пользователя делиться этим предметом с друзьями. Уже спустя менее чем час на это натыкается кто нибудь, кто умеет нажимать ПКМ и смотреть исходный код страницы, после чего уязвимость становится общеизвестной и каждый третий начинает ее абузить с целью просто попиариться. Если бы такой сценарий действительно произошел, ты бы уже знал обо мне, а я бы был забанен еще год назад. Как вариант вредоносного скрипта (я уже упоминал), скрипт, который скупает от лица пользователя твои предметы мастерской по завышенным ценам. Я не black hat, поэтому меня такие развлечения не очень интересуют.
Попробуй найди правило сообщества, под которое попадает мой случай. Правила "Недонесение об уязвимости" там нету (впрочем, это и не мое решение). Не исключено, что меня приняли за другого человека, который мог найти и использовать уязвимость позднее, может что-то из того, что я написал в статье. С таким фидбеком, как у вольво, это навсегда останется загадкой.
Специально выделил ключевые слова жирным. Уязвимость НЕ БЫЛА использована, в течение года никто не вспоминал о ее существовании, пока предположительно кто-то из администраторского состава не открыл мой скрытый(!) удаленный(!!) воркшоп предмет. Возможно ты не знаком с тем, как обычно реагируют на такие вещи разработчики. Во ВКонтакте, например, связываются с тобой и просят пояснить за прикол, если ничего критического не произошло, то могут даже попросить отписать на hackerone (чтобы выплатить потом награду). В стиме же молча банят, а потом морозятся не называя даже банально причины. Я описал выше к чему приводит такая политика.
Если отпишет кто-то из русскоязычных разработчиков (что маловероятно), то мне и самому интересно за какое дело. В противном случае вряд ли, иначе ты бы уже про меня знал.
Человек пытался внедрить свой скрипт, практически троян, а получил всего бан коммьюнити. Магазин, библиотеку или возможность играть он-лайн это не затрагивает.
Ноуп, а автора много воды для созания видимости "невиноватая я, оно само" По факту: Автор используя уязвимость, всковырнул аккаунт, после этого спустил все на авось. Не отправляя своевременный репорт. А теперь ему должны поверить, что за прошедший год, он никому не слил, и не пробовал сам использовать. Ведь он честна-честна говорит. И что багрепорт задним числом через год, это не попытка отмазаться, а истина.
Короче автор сам себе злобный буратино. Или вообще твинк Kaby.
Знал, лично пробовал ранее, не работает и фидбека никакого нету. (Через форму на сайте - вообще мертвое дело). И все же я постарался максимально детально описать ситуацию, чтобы не возникало таких вопросов. Первым обнаружившим был мой друг, поэтому репортить это без его разрешения - неэтично и чревато прекращением дружбы. Лично я постарался бы все же донести проблему через известные мне попеременно рабочие каналы.
Я вломился в чужую собственность, но решил ничего не красть. Делать с этим ничего не стал, думал никто не поймает за руку.
Спустя год.
Охрана таки посмотрела на камеры и запретила мне ходить в их заведение на 20 лет. Все там дураки и неадекваты, должны были меня простить, ведь я же мог еще и насрать там, но не сделал этого.
Не очень корректное сравнение. Выше уже дважды писал, что единственный способ найти уязвимость - проверить ее работоспособность на самом себе либо своем тестовом аккаунте (если требуется взаимодействие двух). В противном случае это лишь гипотеза о существовании уязвимости. Если так посудить, то любой black-hat хакер или штатный тестер уже должен дежурить у параши.
в голосину, то есть сначала вы нашли уязвимость, потом ты написал скрипт что бы ей воспользоваться, а из-за того что у стима нет баг баунти вы подумали и решили что не будете ничего им сообщать об этой уязвимости, еще и угрозы разработчику в письме, well done очередной белый и пушистый кулхацкер, кого там еще несправедливо в стиме забанили? следующий пожалуйста
В юности, занимался отловом подобных людей в одной мморпг. И каждый чёрт, что нещадно эксплуатировал уязвимости, верещал что он только попробовал и хотел рассказать. Не надо скулить, когда за хвост поймали. Поделом тебе.
Опять не очень корректное сравнение. Stored XSS, в отличие от ингейм багов, имеет глобальный характер (особенно в данном случае). Ее не выйдет поюзывать, а потом попасться. Почему? Загугли что такое XSS, прежде чем делать выводы. Если бы она была использована, ты бы уже знал обо мне, как определенные люди знали о Kaby.
Исходя из этого, несколько правил юным исследователям:
1) Не ищи уязвимости в сервисе под основной учёткой
2) Если нет нормального багбаунти и после репорта ничего не исправлено в течении месяца - бери инициативу в свои руки и привлеки внимание к этой проблеме публично (и как можно более анонимно).
3) Не имей никаких дел со Стимом. Здоровее будешь.
"Спустя несколько дней я спросил его, зарепортил ли он это. Он ответил что нет. ... Он в итоге, как и я, об этом кейсе просто забыл."
То есть вы использовали уязвимость, тем самым нарушив правила сообщества, для того что бы протестировать и зарепортить эту же уязвимость. Но после теста вы решили её не репортить, всё верно? А теперь вам прилетел бан за нарушение правил сообщества, потому что вы ПОПРОСТУ ИХ НАРУШИЛИ и вас это возмутило??? Wait WUT?
Это как минимум - смешно, как максимум - заслуживает премию дарвина.
Придется в очередной раз пояснить, чем различается ИССЛЕДОВАНИЕ и ИСПОЛЬЗОВАНИЕ (эксплуатация) XSS уязвимости.
Исследование: создаются скрытые в данном случае предметы мастерской. В них проверяется техническая информация вроде политики доменов, лимита символов, взаимодействие с внутренними функциями и т.п. После этого и без того скрытые от посторонних предметы еще и удаляются. Это даже с натяжкой нельзя назвать использованием уязвимости, так как кроме меня самого ни у кого эти скрипты не выполнялись и выполниться не могли. Тем более что там не было ни одного вредоносного скрипта. Возможно ты не знаешь, но любую уязвимость находят не телепатически, она становится реальным кейсом только после того, как ты проверишь ее работоспособность на самом себе либо же тестовом аккаунте. Поэтому специалисты по безопасности называются тестировщиками, а не хакерами по вызову.
Эксплуатация: создаются публичные предметы мастерской. В них инжектится скрипт заведомо опасного характера либо какой нибудь дефейс и проигрывание веселой музычки, ну и как правило скрипт самораспространения, заставляющий пользователя делиться этим предметом с друзьями. Уже спустя менее чем час на это натыкается кто нибудь, кто умеет нажимать ПКМ и смотреть исходный код страницы, после чего уязвимость становится общеизвестной и каждый третий начинает ее абузить с целью просто попиариться. Если бы такой сценарий действительно произошел, ты бы уже знал обо мне, а я бы был забанен еще год назад. Как вариант вредоносного скрипта (я уже упоминал), скрипт, который скупает от лица пользователя твои предметы мастерской по завышенным ценам. Я не black hat, поэтому меня такие развлечения не очень интересуют.
Попробуй найди правило сообщества, под которое попадает мой случай. Правила "Недонесение об уязвимости" там нету (впрочем, это и не мое решение).
Не исключено, что меня приняли за другого человека, который мог найти и использовать уязвимость позднее, может что-то из того, что я написал в статье. С таким фидбеком, как у вольво, это навсегда останется загадкой.
Специально выделил ключевые слова жирным. Уязвимость НЕ БЫЛА использована, в течение года никто не вспоминал о ее существовании, пока предположительно кто-то из администраторского состава не открыл мой скрытый(!) удаленный(!!) воркшоп предмет. Возможно ты не знаком с тем, как обычно реагируют на такие вещи разработчики. Во ВКонтакте, например, связываются с тобой и просят пояснить за прикол, если ничего критического не произошло, то могут даже попросить отписать на hackerone (чтобы выплатить потом награду). В стиме же молча банят, а потом морозятся не называя даже банально причины. Я описал выше к чему приводит такая политика.
Он ожидал что Гейб лично к нему домой приедет, руку пожмет, деньги даст и на работу возьмет.
Комментарий недоступен
Ну конкретно этот пользователь точно невиновен, а если что и было - так ето брат иго зашел паиграть.
Если отпишет кто-то из русскоязычных разработчиков (что маловероятно), то мне и самому интересно за какое дело. В противном случае вряд ли, иначе ты бы уже про меня знал.
Вот так вот покупаешь игры а тебе дают бан на 20 лет, ты плюешь на все и идёшь на Чёрную жемчужину бороздить просторы пиратства.
Ну не надо драматизма.
Человек пытался внедрить свой скрипт, практически троян, а получил всего бан коммьюнити. Магазин, библиотеку или возможность играть он-лайн это не затрагивает.
Ну то есть при нахождении такой уязвимости более логично, выгодно и безопасно получается просто продать ее, а не сообщать разработчикам. :)
Ноуп, а автора много воды для созания видимости "невиноватая я, оно само"
По факту:
Автор используя уязвимость, всковырнул аккаунт, после этого спустил все на авось. Не отправляя своевременный репорт.
А теперь ему должны поверить, что за прошедший год, он никому не слил, и не пробовал сам использовать. Ведь он честна-честна говорит. И что багрепорт задним числом через год, это не попытка отмазаться, а истина.
Короче автор сам себе злобный буратино. Или вообще твинк Kaby.
Комментарий недоступен
Знал, лично пробовал ранее, не работает и фидбека никакого нету. (Через форму на сайте - вообще мертвое дело).
И все же я постарался максимально детально описать ситуацию, чтобы не возникало таких вопросов. Первым обнаружившим был мой друг, поэтому репортить это без его разрешения - неэтично и чревато прекращением дружбы. Лично я постарался бы все же донести проблему через известные мне попеременно рабочие каналы.
Комментарий недоступен
Я вломился в чужую собственность, но решил ничего не красть. Делать с этим ничего не стал, думал никто не поймает за руку.
Спустя год.
Охрана таки посмотрела на камеры и запретила мне ходить в их заведение на 20 лет. Все там дураки и неадекваты, должны были меня простить, ведь я же мог еще и насрать там, но не сделал этого.
Не очень корректное сравнение. Выше уже дважды писал, что единственный способ найти уязвимость - проверить ее работоспособность на самом себе либо своем тестовом аккаунте (если требуется взаимодействие двух). В противном случае это лишь гипотеза о существовании уязвимости. Если так посудить, то любой black-hat хакер или штатный тестер уже должен дежурить у параши.
в голосину, то есть сначала вы нашли уязвимость, потом ты написал скрипт что бы ей воспользоваться, а из-за того что у стима нет баг баунти вы подумали и решили что не будете ничего им сообщать об этой уязвимости, еще и угрозы разработчику в письме, well done
очередной белый и пушистый кулхацкер, кого там еще несправедливо в стиме забанили? следующий пожалуйста
На большую часть обвинений (особенно про "чтобы воспользоваться") я ответил выше.
А вот:
еще и угрозы разработчику в письмеЛол? Ты откуда это взял?
Отлично расписана часть статьи про уязвимость!
Я думаю, что можно такое, с подробностями, на хабре написать. Было бы интересно почитать.
Я не понял, репорт на баг то был? Нашли уязвимость, опробовали ее и не стали сообщать, ибо нет вознаграждения?
Меркантильные сволочи!
Ты сильно не расстраивайся, за тебя казахи уже отомстили габену: https://dtf.ru/12717-igroki-soobshchili-o-blokirovke-soobshchestva-steam-v-kazahstane.
Автор молодец, без шуток. Просто цари царской платформы не приемлют, чтобы холопы что-то да находили.
В юности, занимался отловом подобных людей в одной мморпг. И каждый чёрт, что нещадно эксплуатировал уязвимости, верещал что он только попробовал и хотел рассказать. Не надо скулить, когда за хвост поймали. Поделом тебе.
Опять не очень корректное сравнение. Stored XSS, в отличие от ингейм багов, имеет глобальный характер (особенно в данном случае). Ее не выйдет поюзывать, а потом попасться. Почему? Загугли что такое XSS, прежде чем делать выводы. Если бы она была использована, ты бы уже знал обо мне, как определенные люди знали о Kaby.