Сергей Романович
Я хоть и пытаюсь здесь придерживаться нейтрального стиля и не переходить на личности, но ты, конечно, тот еще мудень, уж извини.
Во всяком случае мне доставляет некоторое удовлетворение отвечать таким как ты. Тем, кто с предметом обсуждения знаком поверхностно, либо не очень внимательно читал оп-пост.
Даже в классических преступлениях, которые ты регулярно приводишь в пример, нет понятия "Потенциальный преступник". Никого еще не посадили за наличие мотива и возможность. Наказывают только за совершенное действие. Удивительно, но во всех известных мне сервисах (за исключением стима) это так и работает.
Про игру в кулхацкеров я тебе уже отвечал. Никто от тестирования уязвимости НА САМОМ СЕБЕ в скрытом(!!!!!!) сразу же удаленном (!!!!!!!!!!!!!!!!!!) предмете мастерской даже при сильном желании пострадать не может. Чего уж говорить, учитывая что ничего вредоносного я и не тестировал.
Все равно что дома у друга дать самому себе по лицу, а потом сесть за нанесение тяжких телесных.
3) Чего?)
4) Уже было. Неудачное сравнение. Веб-сервера и программное обеспечение - не секретный объект. Нередко обнаружение уязвимости может произойти неосознанно. Например, если рядовой пользователь напишет отрицательное число в графу, которая слепо рассчитана на положительные числа, и тем самым положит базу данных (такой баг был на сайте Первого канала). В таком случае его не банить нужно, а разобраться в ситуации. Вот если он будет это повторять с явным желанием положить базу, и от этого будут страдать рядовые пользователи, тогда к нему действительно следует применить санкции.
Более корректным сравнением будет такое:
Друг под другом расположены публичный объект, и секретный подвал. Но увы, пол и перекрытия публичного объекта частично сделаны из картона, и если на них наступить, ты неизбежно провалишься в секретный подвал.
Сообщить о проблеме может и будет более правильным решением, чем подняться и забыть об этом случае, но здесь, опять же, могут быть свои обстоятельства.
Опять не очень корректное сравнение. Stored XSS, в отличие от ингейм багов, имеет глобальный характер (особенно в данном случае). Ее не выйдет поюзывать, а потом попасться. Почему? Загугли что такое XSS, прежде чем делать выводы. Если бы она была использована, ты бы уже знал обо мне, как определенные люди знали о Kaby.
Искренне надеюсь что ты просто троллишь.
Еще один любитель вырывать фразы из контекста. Зачем комментируешь, если в предмете обсуждения разбираешься чуть менее чем никак?
Не очень корректное сравнение. Выше уже дважды писал, что единственный способ найти уязвимость - проверить ее работоспособность на самом себе либо своем тестовом аккаунте (если требуется взаимодействие двух). В противном случае это лишь гипотеза о существовании уязвимости. Если так посудить, то любой black-hat хакер или штатный тестер уже должен дежурить у параши.
практически троянДержи в курсе. Удивляюсь, как некоторые накручивают какие то предположения, о которых нет ничего ни в тексте, ни по факту.
К гейм координатору доты, ксго и тф2 я подключиться уже не смогу. Не самая большая потеря в первых двух случаях, а вот в тф я порой поигрывал. Точно так же не смогу поиграть в игры с друзьями, банально инвайт отправить не смогут.
Старался.
4) Как я понял, ты банально не знаешь что такое уязвимость, и чем эксплуатация отличается от исследования.
3) В стиме может и нормальная. Именно поэтому любая уязвимость в стиме становится достоянием общественности.
Почему лично я не репортил описано выше. Но все же добавлю, что обязывающих репортить баги правил в соглашении нету. Запрещена эксплуатация, которой не было.
У меня есть отдельная учетка для поиска уязвимостей в играх, но тут я не подумал о рисках. Тем более что за месяц до этого кто-то слил XSS и в ленте активности любого пользователя весь день играла громкая музыка, фон сменялся эпилептическими картинками и уязвимые записи самораспространялись. Никого тогда не побанили, я и подумал что за поиск уж тем более не будет ничего, везде на это нормально реагируют.
К слову, у друга был не один аккаунт (он как и многие фармил карточки), забанили все, с которых он заходил с одного айпи.
Они каждый день блокируют cdn сервера cloudflare, akamaihd и amazon'а, просто открывают сайт, смотрят на какие домены отправлялись пакеты и все это добавляют в базу. К счастью, крупные провайдеры вроде ростелекома такие регулярные выпады игнорируют. А вот абонентам ТТК и Билайна я не завидую.
Вырывать из контекста круто клево.
если бы моей целью действительно была бы эксплуатация уязвимости, я бы просто сделал скрипт на покупку моих предметов с торговой площадки по завышенным ценам, и делал бы это массово.Ну во первых, это было бы достаточно прибыльное занятие, чтобы впоследствии плакать об утраченном аккаунте. Я бы тогда смог себе позволить не один десяток таких.
Ну и во вторых. Слышал прежде о подобном? Вряд ли. А это был бы достаточно грандиозный инфоповод, и мимо тебя бы не прошел.
1), 2) - уже отвечал выше.
3) В самой статье я описал, что было бы, если бы я действительно использовал эту уязвимость даже на ограниченном кругу людей (как правило, и в данном случае тоже, достаточно было бы изучить код зараженной страницы, чтобы все это повторить. Дальше уже геометрическая прогрессия и очередной инфоповод).
4) Внедрение ничего не делающего скрипта в скрытый удаленный предмет мастерской, вероятно, достаточные основания для пермача, учитывая что единственный, у кого скрипт выполнялся - я сам. Про отчет перед саппортом - звучит глупо. Саппорт у Steam есть чтобы был, он и по более близким им вопросам редко может помочь.
Продолжай, если есть о чем.
На большую часть обвинений (особенно про "чтобы воспользоваться") я ответил выше.
А вот:
еще и угрозы разработчику в письмеЛол? Ты откуда это взял?
Придется в очередной раз пояснить, чем различается ИССЛЕДОВАНИЕ и ИСПОЛЬЗОВАНИЕ (эксплуатация) XSS уязвимости.
Исследование: создаются скрытые в данном случае предметы мастерской. В них проверяется техническая информация вроде политики доменов, лимита символов, взаимодействие с внутренними функциями и т.п. После этого и без того скрытые от посторонних предметы еще и удаляются. Это даже с натяжкой нельзя назвать использованием уязвимости, так как кроме меня самого ни у кого эти скрипты не выполнялись и выполниться не могли. Тем более что там не было ни одного вредоносного скрипта. Возможно ты не знаешь, но любую уязвимость находят не телепатически, она становится реальным кейсом только после того, как ты проверишь ее работоспособность на самом себе либо же тестовом аккаунте. Поэтому специалисты по безопасности называются тестировщиками, а не хакерами по вызову.
Эксплуатация: создаются публичные предметы мастерской. В них инжектится скрипт заведомо опасного характера либо какой нибудь дефейс и проигрывание веселой музычки, ну и как правило скрипт самораспространения, заставляющий пользователя делиться этим предметом с друзьями. Уже спустя менее чем час на это натыкается кто нибудь, кто умеет нажимать ПКМ и смотреть исходный код страницы, после чего уязвимость становится общеизвестной и каждый третий начинает ее абузить с целью просто попиариться. Если бы такой сценарий действительно произошел, ты бы уже знал обо мне, а я бы был забанен еще год назад. Как вариант вредоносного скрипта (я уже упоминал), скрипт, который скупает от лица пользователя твои предметы мастерской по завышенным ценам. Я не black hat, поэтому меня такие развлечения не очень интересуют.
Попробуй найди правило сообщества, под которое попадает мой случай. Правила "Недонесение об уязвимости" там нету (впрочем, это и не мое решение).
Не исключено, что меня приняли за другого человека, который мог найти и использовать уязвимость позднее, может что-то из того, что я написал в статье. С таким фидбеком, как у вольво, это навсегда останется загадкой.
Знаю несколько чит-девелоперов, чьи мейн аккаунты чисты несмотря на их известность. Это чисто для справки.
Знал, лично пробовал ранее, не работает и фидбека никакого нету. (Через форму на сайте - вообще мертвое дело).
И все же я постарался максимально детально описать ситуацию, чтобы не возникало таких вопросов. Первым обнаружившим был мой друг, поэтому репортить это без его разрешения - неэтично и чревато прекращением дружбы. Лично я постарался бы все же донести проблему через известные мне попеременно рабочие каналы.
Если отпишет кто-то из русскоязычных разработчиков (что маловероятно), то мне и самому интересно за какое дело. В противном случае вряд ли, иначе ты бы уже про меня знал.
Все гораздо проще. Конкретно от данного кейса я ничего не ожидал уже год, а в целом как минимум адекватной реакции и фидбека в подобных вопросах. Я уже как полтора года назад зарепортил разработчикам баг, позволяющий использовать любые паблик читы (в том числе и детектед) без какого-либо риска получить вак бан. Сказали "спасибо за репорт, разберемся". Пока не разобрались.
Специально выделил ключевые слова жирным. Уязвимость НЕ БЫЛА использована, в течение года никто не вспоминал о ее существовании, пока предположительно кто-то из администраторского состава не открыл мой скрытый(!) удаленный(!!) воркшоп предмет. Возможно ты не знаком с тем, как обычно реагируют на такие вещи разработчики. Во ВКонтакте, например, связываются с тобой и просят пояснить за прикол, если ничего критического не произошло, то могут даже попросить отписать на hackerone (чтобы выплатить потом награду). В стиме же молча банят, а потом морозятся не называя даже банально причины. Я описал выше к чему приводит такая политика.
Имеются ввиду не геймплейные баги и эксплоиты, а действительно уязвимости.