※ 本文為 TLdark 轉寄自 ptt.cc 更新時間: 2021-08-19 05:37:18
看板 C_Chat
作者 標題 [新聞] 駭客找出Steam錢包無限資金漏洞
時間 Mon Aug 16 12:00:31 2021
https://bit.ly/37M013S
駭客找出Steam錢包無限資金漏洞,Valve緊急修復 | 4Gamers
任何含有線上儲值付款功能的電子平台皆可能有漏洞風險,Steam 也不例外。上週 Hackerone 賞金平台有一位駭客發布了 Steam 的錢包系統存在一個漏洞,令其可在某個帳號底下無限生成資金,該功能經 Valve 確認後已緊急修正,並支付 7,500 美元的報酬給該駭客。 ...
任何含有線上儲值付款功能的電子平台皆可能有漏洞風險,Steam 也不例外。上週 Hackerone 賞金平台有一位駭客發布了 Steam 的錢包系統存在一個漏洞,令其可在某個帳號底下無限生成資金,該功能經 Valve 確認後已緊急修正,並支付 7,500 美元的報酬給該駭客。 ...
任何含有線上儲值付款功能的電子平台皆可能有漏洞風險,Steam 也不例外。上週
Hackerone 賞金平台有一位駭客發布了 Steam 的錢包系統存在一個漏洞,令其可在某個
帳號底下無限生成資金,該功能經 Valve 確認後已緊急修正,並支付 7,500 美元的報酬
給該駭客。
帳號底下無限生成資金,該功能經 Valve 確認後已緊急修正,並支付 7,500 美元的報酬
給該駭客。
根據 Hackerone 報告,代號 Ddrbrix 的駭客在 8 月 9 日私下提醒 Valve 注意錢包系
統漏洞,這個漏洞的原理基本上是攔截任何利用 Smart2Pay 支付方式的交易,修改儲存
資金的金額 —例如 1 美元改成 100 美元— 幾乎是 Steam 平台的偽鈔技術了。
統漏洞,這個漏洞的原理基本上是攔截任何利用 Smart2Pay 支付方式的交易,修改儲存
資金的金額 —例如 1 美元改成 100 美元— 幾乎是 Steam 平台的偽鈔技術了。
「我認為影響非常明顯,攻擊者可以此來賺錢,破壞 Steam 市場,用以低廉的價格出售
遊戲序號等等,」Ddrbrix 在報告中表示。
之後,Valve 官方人員快速測試該漏洞後緊急修復,並感謝這位駭客找出致命的漏洞,支
付 7,500 美元作為賞金。
許多遊戲發行商皆有與 Hackerone 的駭客進行合作找出漏洞,例如任天堂、Rockstar
Games 或 Riot Games,而 Riot 還曾為自己旗下的《特戰英豪》反作弊程式「Vanguard
」準備祭出 10 萬美元的賞金給發現漏洞的白帽駭客。
=====
在買遊戲的遊戲中開錢無限,大概是這個意思
--
十部常被人用於學術研究的純愛型作品
https://i.imgur.com/GyOsasd.png 咲子 https://i.imgur.com/fE4hU8y.png 勝子https://i.imgur.com/e9NJM3c.png 寧寧 https://i.imgur.com/IRpmjZo.png 舞櫻
https://i.imgur.com/PMWbgiI.png 亞愛 https://i.imgur.com/tQUc4MC.png 葵
https://i.imgur.com/130juok.png 美來 https://i.imgur.com/jAyLhqd.png 可南子
https://i.imgur.com/nmVVgPw.png 凜華 https://i.imgur.com/QWDEady.png 步
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.32.239.143 (臺灣)
※ 文章代碼(AID): #1X6UBY_P (C_Chat)
※ 文章網址: https://www.ptt.cc/bbs/C_Chat/M.1629086434.A.FD9.html
推 : Show me the money1F 08/16 12:02
噓 : 純愛2F 08/16 12:03
推 : 這反應真快3F 08/16 12:06
推 : 開金手指4F 08/16 12:06
推 : 7500美刀有點低哩....5F 08/16 12:07
推 : greedisgood6F 08/16 12:07
推 : 還能用就能把steam遊戲買齊破關了7F 08/16 12:07
推 : 7500元耶 好羨慕8F 08/16 12:07
→ : 才給75009F 08/16 12:07
→ : 7500就打發掉 真廉價10F 08/16 12:08
推 : 你各位覺得要多少?11F 08/16 12:09
推 : 20萬還不錯吧12F 08/16 12:09
→ : 真用這個BUG灌錢是犯法且帳號會被封鎖吧.13F 08/16 12:12
→ : 不能用價值看吧.難道我撿到別人家鑰匙還回去要索取對14F 08/16 12:12
→ : 方50%家產嗎
→ : 方50%家產嗎
推 : 給獎金已經夠給面子了 這種駭客是實打的犯罪 就算靠這方式16F 08/16 12:14
→ : 獲利也會被追討
→ : 獲利也會被追討
推 : 好險被發現18F 08/16 12:15
→ : 算其中的一成好了 那麼買遍steam遊戲需要兩百萬台幣嗎19F 08/16 12:15
→ : 終於能RTA這個買遊戲的遊戲了?20F 08/16 12:15
推 : 很多白帽本來就做功德的吧21F 08/16 12:17
推 : 白帽也被說犯罪 笑爛22F 08/16 12:17
推 : 絕對超過200萬台幣...23F 08/16 12:18
推 : 才7500美24F 08/16 12:19
推 : 16樓在說什麼...本來就是遊戲公司和平台合作25F 08/16 12:20
推 : 行為上要說他犯罪也沒錯啊 就只是要不要告的問題 真要告絕26F 08/16 12:21
→ : 對可以 只是留他們免費幫公司debug更符合利益罷了
→ : 對可以 只是留他們免費幫公司debug更符合利益罷了
推 : 這種賞金你不給人,等等被真正的壞人弄翻28F 08/16 12:21
推 : 7500真的有點少29F 08/16 12:22
推 : 找到漏洞但沒有濫用犯了什麼罪來著30F 08/16 12:22
→ : 找到漏洞不代表有進行破壞啊 有漏洞是你的問題31F 08/16 12:23
推 : 笑死 我的程式有漏洞被發現了,我要告死發現的人32F 08/16 12:24
推 : 16樓根本不知道什麼是白帽駭客吧 你自己去google33F 08/16 12:24
推 : 至少給10萬美吧?這算很嚴重的欸34F 08/16 12:25
推 : 有人是非黑即白的,駭客就是駭客,管你黑帽白帽35F 08/16 12:25
→ : 找到漏洞要完全排除使用過它幾乎不可能吧 行為上要完全不36F 08/16 12:25
→ : 給人能告的空間很難吧
→ : 給人能告的空間很難吧
→ : 某樓可能沒什麼網路知識,就別跟他計較了38F 08/16 12:26
推 : 沒被告就很好了還嫌錢少喔39F 08/16 12:26
推 : 笑爛,我們來解決發現問題的人,是這個意思嗎40F 08/16 12:26
推 : 還犯罪哩 笑死41F 08/16 12:26
→ : 才講沒多久又一位認為所有駭客都是黑的人出現了42F 08/16 12:26
推 : 沒加碼送遊戲喔43F 08/16 12:27
→ : 那當屁白帽,反正都會被吉44F 08/16 12:27
推 : 你敢告白帽駭客的話 就不會有白帽跟你合作了 剩下黑帽搞你45F 08/16 12:27
→ : 這跟醫生動手術你就一定要告他傷害一樣好笑
→ : 這跟醫生動手術你就一定要告他傷害一樣好笑
推 : 好歹給個一萬以上吧甚至給個十萬也不為過47F 08/16 12:28
→ : 我又沒說他是黑的 只是說站在公司的立場可以完全不給錢也48F 08/16 12:29
→ : 不給予任何感謝 白白收下這個資安debug的結果
→ : 不給予任何感謝 白白收下這個資安debug的結果
→ : 法律上是不行沒錯 道義上他救了G胖 7500跟v社比起來50F 08/16 12:29
推 : 有也不會用 不用花錢的steam還有什麼樂趣?51F 08/16 12:29
→ : 真的微不足道52F 08/16 12:29
推 : 人家特地來通知你哪裡有漏洞 你告他?你是不是覺得53F 08/16 12:29
→ : 多一個來攻擊你的人會比較爽?
→ : 多一個來攻擊你的人會比較爽?
→ : 我們公司絕對不跟恐怖分 我是說駭客談判55F 08/16 12:30
推 : 也是有聽過先把錢幹走,你付錢才還你的啦,但是這種就56F 08/16 12:30
推 : 你這種講法就跟你出門時鄰居提醒你門沒鎖,你還靠北鄰居57F 08/16 12:30
→ : 很有爭議了,但也是那種公司裝死修掉不給錢的太多58F 08/16 12:30
→ : 是不是想進家裡偷錢59F 08/16 12:30
推 : 跟你講你家窗戶破了還要被屋主告?笑死60F 08/16 12:31
噓 : 到底在講三小啦,要死是屁都不吭的把漏洞修好,就可看下61F 08/16 12:32
→ : 次人家找到漏洞會不會告訴你
→ : 次人家找到漏洞會不會告訴你
→ : 說法律上不行的說說是犯了那條法律啊63F 08/16 12:32
微軟減少抓漏獎金,研究人員索性公布Windows 10權限升級漏洞 | iThome
存放Windows作業系統關鍵檔案的system32資料夾,需要有權限才能存取,但有研究人員發現,只要在Windows 10開啟Hyper-V,就能破除這項限制,發現者以微軟調降抓漏獎金為由,逕自公布這項漏洞資訊 ...
存放Windows作業系統關鍵檔案的system32資料夾,需要有權限才能存取,但有研究人員發現,只要在Windows 10開啟Hyper-V,就能破除這項限制,發現者以微軟調降抓漏獎金為由,逕自公布這項漏洞資訊 ...
推 : 白帽出發點不談啦,哪知道人家原始動機是想挖bug圖利還真66F 08/16 12:32
→ : 的只是想抓蟲?
→ : 的只是想抓蟲?
推 : 可能有讓駭客選遊全遊戲免費玩 vs 折現,兩種選項?68F 08/16 12:32
→ : 但他告訴遊戲公司,就該有賞,有沒有用bug圖利,那是另一69F 08/16 12:33
→ : 回事
→ : 回事
→ : 提供專業技術就是值得分享利益,有問題嗎?71F 08/16 12:33
→ : 你這點獎勵都不肯給,還要告他,以後真的沒白帽幫你抓蟲72F 08/16 12:34
→ : 了
→ : 了
→ : 喔喔,你的意思說是挖bug偷用,但是這個行不通74F 08/16 12:34
→ : 公司一下就發現了,而且這就真的有法律問題了
→ : 公司一下就發現了,而且這就真的有法律問題了
推 : 才給7500?76F 08/16 12:34
推 : 7500其實滿少的77F 08/16 12:35
→ : steam這種靠網路平台賺錢的,怎麼可能不瞭解白帽駭客78F 08/16 12:35
→ : 文化? 某樓的公司立場,顯然不適用網路平台公司。
→ : 文化? 某樓的公司立場,顯然不適用網路平台公司。
推 : 好像有人以為駭客本身就是違法的存在,笑死80F 08/16 12:36
推 : j仁兄要檢討白客駭帽前,請先檢討G胖底下的工程師為何沒81F 08/16 12:36
→ : 你了解的公司文化顯然缺乏與白帽駭客互動這塊82F 08/16 12:36
→ : 發現這麼嚴重的Bug,還要業外人士提醒83F 08/16 12:36
推 : 7500只是象徵意義而已啦==84F 08/16 12:36
推 : 笑死 白帽被說成是犯罪 有夠可憐85F 08/16 12:36
推 : 白帽子打我小學生時就聽過了,不懂得就別出來嘴砲了86F 08/16 12:37
推 : 反正你也沒時間玩…87F 08/16 12:38
→ : 會用白帽表示本身就已經沒有惡意了...88F 08/16 12:39
推 : 這漏洞影響很嚴重,要慶幸沒被公布89F 08/16 12:39
推 : 7500美應該是單純發給該位白帽的獎金,G胖公司有在跟該組90F 08/16 12:39
→ : 織合作表示應該本來就有贊助金之類的,可能組織本身也會
→ : 織合作表示應該本來就有贊助金之類的,可能組織本身也會
→ : 公司為了長期利益當然給白帽好生養著啊 只是說賞金多寡就92F 08/16 12:40
→ : 公司隨意啊 它沒有義務一定要給白帽任何金錢或福利啊
→ : 公司隨意啊 它沒有義務一定要給白帽任何金錢或福利啊
→ : 給予獎勵金之類的94F 08/16 12:40
推 : 駭客不能做慈善喔 = = 會這樣告知本來就沒打算洗錢吧95F 08/16 12:40
推 : 不知道白帽就算了還一直在嘴硬 到底?96F 08/16 12:40
→ : 不要嘴砲啦,乖乖承認不懂有這麼難喔?97F 08/16 12:41
→ : 沒有義務?是啊,看看上面那個網址,錢少給了就把自己找到98F 08/16 12:41
→ : 沒給錢可以啊 只是你說人家是在犯罪欸99F 08/16 12:41
→ : 的統統公佈在網路上,看你MS有多少人力去搞定那些漏洞100F 08/16 12:41
噓 : 樓上一堆鬼島邏輯 : 告幫你找bug bounty 的白帽101F 08/16 12:42
推 : 7500只是檯面上的啦 底下流動一般人不會知道102F 08/16 12:42
推 : 自己養的debug team一個月就不只7500了還不一定抓得到103F 08/16 12:43
→ : 給太少了吧104F 08/16 12:43
推 : 7500聽起來就像績效那樣的獎金吧,這些白帽應該平常就有105F 08/16 12:43
→ : 固定的薪資了
→ : 固定的薪資了
→ : 白帽又不是受僱員工哪來的工資???107F 08/16 12:44
推 : 還以為是SpiffingBrit108F 08/16 12:47
→ : 白帽有些是興趣在挖蟲,人家有其他正職109F 08/16 12:47
推 : 好了啦 犯罪兩個字都打出來就不要再遮了 無知不是問110F 08/16 12:48
→ : 題 不願意承認無知比較可怕
→ : 題 不願意承認無知比較可怕
推 : 反正我主要是要說7500太少這件事 完全沒立場吵 因為公司有112F 08/16 12:49
→ : 給錢就已經是很佛了 它完全沒有付這錢的義務在
→ : 給錢就已經是很佛了 它完全沒有付這錢的義務在
推 : 白帽很多做功德的耶114F 08/16 12:49
推 : 沒人給台階下,當然要繼續嘴硬,還扯到公司幹嘛給錢感謝115F 08/16 12:49
→ : 白帽駭客,搞不清楚狀況的人當然搞不清楚狀況
→ : 白帽駭客,搞不清楚狀況的人當然搞不清楚狀況
推 : 題外話 他們這類團體大多會跟公司合作幫忙找漏洞 我117F 08/16 12:50
→ : 之前公司做網路相關產品 去類似機構測過一次 測完真
→ : 的可以幫你抓一堆軟硬體破解手法出來 費用那時候是付
→ : 了5萬鎂
→ : 之前公司做網路相關產品 去類似機構測過一次 測完真
→ : 的可以幫你抓一堆軟硬體破解手法出來 費用那時候是付
→ : 了5萬鎂
推 : 被人看沒有而已啦,一個大公司幫他省了多少錢結果才給121F 08/16 12:51
→ : 一點打發,根本不尊重專業還在還很佛www
→ : 一點打發,根本不尊重專業還在還很佛www
→ : 公司是沒這個義務給錢 不過人家不是你養的也沒欠你 不123F 08/16 12:51
→ : 給就準備花更多擦屁股
→ : 給就準備花更多擦屁股
→ : 白帽通常公布的時候官方早就修了125F 08/16 12:51
推 : 人家valve在懸賞網站開懸賞,啊真的有人達成條件了126F 08/16 12:51
→ : 推文又有人在說不用付那筆錢,是不是當懸賞是放屁啊
→ : 推文又有人在說不用付那筆錢,是不是當懸賞是放屁啊
推 : 因為白帽發現Bug時一定是先聯絡官方,等確定修好後再跟官128F 08/16 12:52
→ : 方共同公佈有關這個Bug的事
→ : 方共同公佈有關這個Bug的事
→ : 7500應該是依照那個蟲的等級去定義的,我們外人可能覺130F 08/16 12:52
→ : 得危險,但是定義的人可能覺得就7500的價值
→ : 得危險,但是定義的人可能覺得就7500的價值
→ : 公司當然沒必要付錢給白帽啊 但是下次exploit就直接賣給132F 08/16 12:53
推 : 十六樓好了啦133F 08/16 12:53
→ : 競爭對手或是真正的犯罪組織了 自己想想吧 把法律當成一134F 08/16 12:53
→ : 切標準?你知道立法委員是群智障嗎?
→ : 切標準?你知道立法委員是群智障嗎?
推 : 一下說錢太少 一下又沒義務給錢 我真的快笑死136F 08/16 12:53
HackerOne
The Valve Bug Bounty Program enlists the help of the hacker community at HackerOne to make Valve more secure. HackerOne is the #1 hacker-powered secur ...
The Valve Bug Bounty Program enlists the help of the hacker community at HackerOne to make Valve more secure. HackerOne is the #1 hacker-powered secur ...
→ : 獎金擺在那,你不爽拿可以用這個漏洞轉黑錢啊。138F 08/16 12:53
推 : SpiffingBrit XD139F 08/16 12:54
→ : 人家公司在懸賞網站開的頁面啦,裡面回報的不只一筆140F 08/16 12:54
→ : ,沒義務大師快點來判斷一下這些有沒有義務給錢
→ : ,沒義務大師快點來判斷一下這些有沒有義務給錢
→ : 從新聞來看這案子似乎不是合作 所以才說抓蟲過程也可能有142F 08/16 12:55
→ : 犯罪的可能 而且最主要是他抓到蟲除了告知公司領賞外沒有
→ : 有其他合法變現的可能
→ : 犯罪的可能 而且最主要是他抓到蟲除了告知公司領賞外沒有
→ : 有其他合法變現的可能
推 : 也有可能這Bug使用難度高的關係,不是隨便一個Steam玩家145F 08/16 12:55
→ : 看懶人包就立刻會用的狀況,所以獎金才會有認知上的落差
→ : 看懶人包就立刻會用的狀況,所以獎金才會有認知上的落差
推 : 怎麼變成犯罪的可能了?不是說是實打的犯罪嗎?147F 08/16 12:56
→ : 那j仁兄邏輯蠻悲哀的,把所有人都當做賊去防範,不願相信148F 08/16 12:57
推 : 看推文就知道台灣為什麼會是鬼島了 先解決敢提出問題的人149F 08/16 12:57
→ : 難怪三不五十能看到指鹿為馬 國王新衣的事情
→ : 難怪三不五十能看到指鹿為馬 國王新衣的事情
→ : 有人是好心主動幫忙,就算是為了除蟲獎金,該人有做了什151F 08/16 12:58
推 : 給抓bug獎金google和微軟這些科技公司都有152F 08/16 12:58
→ : 麼其他犯罪的事情嗎?153F 08/16 12:58
推 : 以valae的規模7500就是在羞辱人啦154F 08/16 12:58
→ : 又不是只有valve在給 早是就行之多年的制度了155F 08/16 12:58
推 : 公司沒義務付錢 白帽也沒義務主動告知阿156F 08/16 12:59
推 : 一開始就說白帽這樣是犯罪,後面怎麼扯都是屁了啦,幫157F 08/16 12:59
→ : 人抓蟲還要被當罪犯
→ : 人抓蟲還要被當罪犯
推 : 白帽也不是只靠賞金為收入,靠名氣拿固定收入也很重要159F 08/16 13:00
→ : 所以大公司才會懸賞bug鼓勵人家告知160F 08/16 13:00
推 : 新聞沒採訪這位白帽,所以無法得知7500到底對他而言是多161F 08/16 13:01
→ : 還少,如果真認為少的話可能早就講話了吧
→ : 還少,如果真認為少的話可能早就講話了吧
→ : 至於錢的問題真的沒必要討論 人家覺得少可能下次就不幹163F 08/16 13:01
→ : 而已
→ : 而已
→ : 我從頭到尾都在說賞金太少的爭議 抓語病打也很無聊啊 會提165F 08/16 13:02
→ : 犯罪只是在說抓到蟲也沒有其他輕鬆變現的管道 到頭也只能
→ : 看公司良心給多少就多少
→ : 犯罪只是在說抓到蟲也沒有其他輕鬆變現的管道 到頭也只能
→ : 看公司良心給多少就多少
推 : 怎麼會沒變現可能 把方法拿去賣一定會有人出更高價168F 08/16 13:02
推 : 醫生幫你開刀 你告他傷害罪的概念169F 08/16 13:02
→ : 另一個可能是人家想要的是名氣而不是錢,畢竟可以找到該170F 08/16 13:02
→ : 駭客怎麼懂行情 推文說不夠就不夠 懂171F 08/16 13:02
→ : 你說實打實的犯罪 然後現在說別人是抓語病ww172F 08/16 13:03
→ : 公司的工程師找不到的Bug,而且公司規模那麼大173F 08/16 13:03
推 : 少的也不能怎摸樣因為真的不是義務,但丟臉的是valve174F 08/16 13:03
→ : 之後我看願意幫助的白帽都要沒了喔
→ : 之後我看願意幫助的白帽都要沒了喔
推 : 說7500美元少的,有多少人是真的可以當下拿出7500美元176F 08/16 13:03
推 : 資格認證大師又要變成語病大師了喔,讚讚讚177F 08/16 13:04
推 : 16樓好了啦,冷靜一下再看自己說的話,不要秀下限178F 08/16 13:04
推 : 輕鬆變現的管道?以這種程度的工程師,你真認為找不到地方179F 08/16 13:05
→ : 賣情報嗎?不要在那邊把臉伸出來給人打好嗎
→ : 賣情報嗎?不要在那邊把臉伸出來給人打好嗎
推 : 7500有很多嗎?你要不要看一下美國那邊的工資開多少?181F 08/16 13:06
推 : 拿去賣就真犯罪啦 我原本想表達是要拿這bug變現就一定會犯182F 08/16 13:07
→ : 罪 所以他根本沒有除了回報公司以外的選擇
→ : 罪 所以他根本沒有除了回報公司以外的選擇
推 : 你這個又講錯了,誰說賣情報就一定是犯罪?184F 08/16 13:09
推 : 不知道變現不變現有什麼好吵的 人家搞不好根本不在意185F 08/16 13:11
→ : 這些錢 旁邊喊什麼燒啊
→ : 這些錢 旁邊喊什麼燒啊
→ : 好猛187F 08/16 13:14
推 : 玩手遊發現有bug所以上來po文問 這樣犯罪了嗎188F 08/16 13:15
推 : 16f就台灣老闆的思維吧189F 08/16 13:17
→ : 你發現我網頁的bug 我要告死你^^
→ : 你發現我網頁的bug 我要告死你^^
推 : 某推文真的讓人開眼界191F 08/16 13:17
推 : 我看到機車鑰匙沒拔 幫他拿下來放到前面置物櫃 請問我192F 08/16 13:17
→ : 犯罪了嗎
→ : 犯罪了嗎
→ : 看到朋友沒在七夕陪他女朋友所以我幫忙陪,請問有犯法嗎194F 08/16 13:19
推 : 幹嘛跟那個id認真 只會一直跳而已195F 08/16 13:19
推 : 樓上比喻錯誤喔,白帽只有告知車主沒有動手拔鑰匙喔196F 08/16 13:20
→ : 凹成這樣還不如不要回冷處理,回推回到這麼沒下限,是不是197F 08/16 13:20
→ : 不知道什麼叫丟人現眼?
→ : 不知道什麼叫丟人現眼?
推 : 有夠寒酸 7500199F 08/16 13:21
推 : 最一開始不就一口咬定是犯罪嗎200F 08/16 13:22
推 : 犯罪ww16摟先去查查白帽駭客是什麼好嗎201F 08/16 13:25
推 : 10萬美我都不覺得多...202F 08/16 13:25
→ : 7500是打發叫化子?
→ : 7500是打發叫化子?
推 : 跳針無敵 別人說一句拿十句抵 我以為來到八ㄍ..咦?204F 08/16 13:26
推 : 一般漏洞獎金會根據攻擊手法以及危害程度來決定205F 08/16 13:26
推 : 說真的少的大概是半懂吧206F 08/16 13:28
→ : 黑客沒有立場去跟公司要更多
→ : 公司願意給他ok就結案了
→ : 要更多等等被起訴 再公布漏洞不是雙輸嗎
→ : 黑客都有自己底線在
→ : 黑客沒有立場去跟公司要更多
→ : 公司願意給他ok就結案了
→ : 要更多等等被起訴 再公布漏洞不是雙輸嗎
→ : 黑客都有自己底線在
→ : 羨慕211F 08/16 13:31
推 : 在台灣你會被告212F 08/16 13:32
→ : 他給多少當然都沒錯,我只覺得你那麼大公司讓人看低213F 08/16 13:33
推 : 又多了一個跳針id 可以黑單了嘻嘻214F 08/16 13:33
推 : 奇怪,拿錢的都沒說什麼了,旁邊在喊很少是怎樣215F 08/16 13:35
推 : 7500真的給得有點少216F 08/16 13:36
推 : 好歹加個0217F 08/16 13:41
推 : 16樓笑死,還 實打 勒218F 08/16 13:41
推 : 給的少就是提高下次駭客利用漏洞搞你的機會啊 看公司要219F 08/16 13:43
→ : 怎麼衡量囉
→ : 怎麼衡量囉
推 : 那賞金也太便宜了吧221F 08/16 13:44
推 : 笑死被打臉還一直跳針 哭哭哦 哈哈222F 08/16 13:45
推 : 駭客賺進二十幾萬223F 08/16 13:45
推 : 要更多錢不會被起訴好ㄇ,這種本來就類似僱傭關係(類224F 08/16 13:46
→ : 似冒險者接案XD),要求加點薪是ok的
→ : 似冒險者接案XD),要求加點薪是ok的
推 : 為啥一堆人覺得7500美很少226F 08/16 13:48
推 : 某樓秀下限 這就像是張貼尋狗啟示 別人幫你找到狗然後還227F 08/16 13:48
→ : 說沒必要給對方回報 有夠好笑
→ : 說沒必要給對方回報 有夠好笑
推 : 因為真的蠻少的,這個損失上限很高,fb之前斗內漏洞給229F 08/16 13:48
→ : 有時候追求的不是金錢 而是我先發現230F 08/16 13:49
→ : 1萬美,特斯拉1元換400萬汽車給4萬美231F 08/16 13:50
→ : 樓上講的那個最近就有實例了,有個盜了價值6.1億美元
→ : 樓上講的那個最近就有實例了,有個盜了價值6.1億美元
推 : 我也覺得7500有點少 不過可能也是V社他們對自己bug的嚴重程度233F 08/16 13:51
→ : 去決定賞金的
→ : 去決定賞金的
→ : 的加密貨幣他全還,官方給50萬美元賞金他不要235F 08/16 13:51
推 : fb跟特斯拉的規模都不知道比valve大幾倍== valve公司沒236F 08/16 13:52
→ : 有上市 員工大概也才三百多人
→ : 有上市 員工大概也才三百多人
推 : 不給的話下次找到的漏洞搞不好更嚴重 給了還能刷一波238F 08/16 13:53
推 : 不能刪留言的好處就是可以看到有人一直跳針xD239F 08/16 13:56
→ : 駭客對金額表示過意見嗎?240F 08/16 13:58
推 : 醫生開刀一定都犯了傷害罪 阿原來有人說過了241F 08/16 14:02
推 : 台灣公司,你居然發現有漏洞,不管真的假的先把你告上法242F 08/16 14:03
→ : 院。
→ : 院。
推 : 某樓邏輯太秀了吧,跳針之鬼244F 08/16 14:05
推 : 7500美XD245F 08/16 14:09
推 : 被密醫醫好之後告傷害 真賺246F 08/16 14:10
推 : 7500超少吧247F 08/16 14:10
→ : 總是有不懂裝懂的拉不下臉248F 08/16 14:10
推 : 檯面上白帽 檯面下黑帽:)249F 08/16 14:11
推 : 白帽子就是賺心安理得的賞金,不是所有人會去違法250F 08/16 14:14
→ : 跳針笑死XD你乾脆說臥底警察也要照組織犯罪條例抓去關251F 08/16 14:20
→ : 好了。
→ : 好了。
推 : 好了啦 笑死253F 08/16 14:20
→ : 這麼大包的漏洞 7500美???254F 08/16 14:21
噓 : 就寫合作的賞金平台了還在耍什麼白癡 去讀書啦255F 08/16 14:23
推 : 覺得多一個零價位才差不多256F 08/16 14:24
→ : 這種漏洞很重要 但駭客找漏洞的工作不是天天有
→ : 價格太低是叫駭客沒工作時要吃自己?
→ : 這種漏洞很重要 但駭客找漏洞的工作不是天天有
→ : 價格太低是叫駭客沒工作時要吃自己?
推 : 上面都有人貼hackerone網址了,點進去看就不用吵了259F 08/16 14:30
→ : https://i.imgur.com/6FUFcqQ.png
→ : https://hackerone.com/reports/1295844
→ : https://i.imgur.com/6FUFcqQ.png
→ : https://hackerone.com/reports/1295844
HackerOne
I have found vulnerability which allows attacker to generate steam wallet balance.
Firstly you will have to change yours steam account email to someth ...
I have found vulnerability which allows attacker to generate steam wallet balance.
Firstly you will have to change yours steam account email to someth ...
→ : 還好他沒直接買那個 全遊戲整合包262F 08/16 14:37
→ : 攔截 request 修改儲存金額就行?263F 08/16 14:42
→ : 涉及金流後端還沒驗金額確認喔
→ : 這 bug 有點誇張
※ g5637128:轉錄至看板 Steam 08/16 14:46→ : 涉及金流後端還沒驗金額確認喔
→ : 這 bug 有點誇張
→ : jupto又出來鬧笑話了266F 08/16 14:55
推 : 笑死 抓白帽的要不要順便告醫師傷害罪267F 08/16 14:57
推 : showmethemoney268F 08/16 14:57
推 : 484有人不懂白帽的意思?還犯罪哈哈269F 08/16 14:59
→ : 誒 吵錢少的 都公開獎賞了還在吵什麼啊?270F 08/16 14:59
→ : 典型的旁人喊燙欸
→ : 典型的旁人喊燙欸
推 : STEAM code是請大學生碼的嗎 也太扯==272F 08/16 15:01
→ : 而且駭客最好沒工作啦 現在資訊科技根本缺人273F 08/16 15:03
推 : 這是白客吧274F 08/16 15:05
推 : 7500很少好嗎 ㄧ被攻擊是多少M損失275F 08/16 15:18
推 : 駭客有分白帽跟黑帽吧276F 08/16 15:28
→ : 這個是白帽沒事幫人抓bug的
→ : 但給的有點少QQ
→ : 這個是白帽沒事幫人抓bug的
→ : 但給的有點少QQ
推 : 才7500駭客虧大了279F 08/16 15:33
推 : 告下去就台灣做法啊,資訊人都該認識城邦集團280F 08/16 15:42
推 : 早知道當黑帽281F 08/16 15:48
推 : 以STEAM來講 7500真的算少了 不過至少是正當錢XD282F 08/16 15:51
推 : 在台灣 這駭客大概就被抓 然後被告 求償了283F 08/16 15:52
推 : 玩買遊戲的遊戲開無限金錢金手指!太強了吧!284F 08/16 15:59
推 : 才7500 等著下次再被攻破嗎XDD285F 08/16 16:04
推 : 會利用bug圖利的就不是白帽了好嗎 一堆邏輯死去286F 08/16 16:07
推 : hackerone上7500算普通價吧287F 08/16 16:08
→ : 而且valve自己bounty就定那個價,會打的本來就知道
→ : 而且valve自己bounty就定那個價,會打的本來就知道
推 : 台灣就是腦殘賤畜刁民太多289F 08/16 16:13
推 : 還好是白帽290F 08/16 16:14
→ : 某樓是諷刺台灣資訊公司吧
→ : 被人找到漏洞善意提醒還不補
→ : 漏洞被利用後就把人家往死裡告
→ : 某樓是諷刺台灣資訊公司吧
→ : 被人找到漏洞善意提醒還不補
→ : 漏洞被利用後就把人家往死裡告
推 : 人家要是覺得bounty太低 就自己用這個漏洞賺了啦294F 08/16 16:19
→ : 不就是衡量過風險覺得領這個bounty比較快嗎 沒什麼過低
→ : 不就是衡量過風險覺得領這個bounty比較快嗎 沒什麼過低
→ : 打bounty也不只為錢也有人為名吧296F 08/16 16:20
→ : 為名有時候也是為了未來的錢啊297F 08/16 16:38
推 : 平時沒薪水,有功有賞金,也算不錯啦298F 08/16 16:48
推 : 起碼7萬5鎂吧?299F 08/16 17:09
推 : 意思意思給個7500 V社賺爆300F 08/16 17:26
推 : 其實大一點的有網路業務的公司大多有聘用駭客團隊定期301F 08/16 17:28
→ : 對自家系統做安全評估. 有給公司報過漏洞的人通常能
→ : 優先獲得聘用. 7500是小錢, 重點在獲得的業界信譽.
→ : 對自家系統做安全評估. 有給公司報過漏洞的人通常能
→ : 優先獲得聘用. 7500是小錢, 重點在獲得的業界信譽.
→ : 我記得某個公司還去告駭客304F 08/16 17:34
推 : 噗 某些推文 真是令人不意外 無知還能硬拗 你覺得公司沒
→ : 有付錢的義務 難道白帽就有告知的義務了喔
推 : 噗 某些推文 真是令人不意外 無知還能硬拗 你覺得公司沒
→ : 有付錢的義務 難道白帽就有告知的義務了喔
推 : 我想前面有推在講過問題了307F 08/16 18:38
→ : 7500美並不是對價關係
→ : 不是心裡預估「你損失更多」做為依據
→ : 路上撿到200萬 並不會因為
→ : 「酬謝應該給我更多 不然你連200萬都拿不回來」
→ : 既然是白帽 做聲望往往居多 也有本身就是業界資安
→ : 至於雙方究竟是怎麼決定的
→ : 我想這個答案 只有他自己知道了
→ : 7500美並不是對價關係
→ : 不是心裡預估「你損失更多」做為依據
→ : 路上撿到200萬 並不會因為
→ : 「酬謝應該給我更多 不然你連200萬都拿不回來」
→ : 既然是白帽 做聲望往往居多 也有本身就是業界資安
→ : 至於雙方究竟是怎麼決定的
→ : 我想這個答案 只有他自己知道了
推 : Fpe 嘛 我年輕時也用過315F 08/16 18:45
推 : 是7500美金!總比被抓到要背罪名+steam永ban 來得好316F 08/16 19:04
→ : 看到某幾樓 突然想到檯面上很多死不道歉的政治人物317F 08/16 21:01
→ : …
→ : …
推 : 台灣真的有白帽被告XD319F 08/16 22:00
推 : 樓上講那麼多,真遇過白帽的有幾個?遇過就知道了,白320F 08/16 22:21
→ : 帽就是來要錢的,沒人會做白功。按上面的比喻的話比較
→ : 像是告知你家門沒鎖,然後賴著你一定要給錢才走
推 : 你給了錢,他又說你窗戶有問題,再敲一筆。你不給嘛
→ : 誰知道他會不會由白轉黑?不請自來的白帽其實很頭痛
→ : 帽就是來要錢的,沒人會做白功。按上面的比喻的話比較
→ : 像是告知你家門沒鎖,然後賴著你一定要給錢才走
推 : 你給了錢,他又說你窗戶有問題,再敲一筆。你不給嘛
→ : 誰知道他會不會由白轉黑?不請自來的白帽其實很頭痛
推 : 推文想漫天喊價wwwwwwwwwwww325F 08/16 22:36
推 : 白帽駭客被說成犯罪…我的天阿…326F 08/17 03:22
推 : 賞金平台上的懸賞還實打實的犯罪……不懂裝懂笑死327F 08/17 09:12
--
※ 看板: ACG 文章推薦值: 0 目前人氣: 0 累積人氣: 214
作者 SuperSg 的最新發文:
- 還是更想等打折!2024年Steam使用者玩新作時間僅15% Steam 公布了他們對全球玩家遊戲時間統計,根據公開的資料,今年玩家們在 2024 年新 遊戲的時間投入上只有 15%。玩家們將 47 …88F 58推
- 7F 6推
- 19F 14推
- 11F 6推
- 55F 21推
點此顯示更多發文記錄
回列表(←)
分享