※ 本文為 TLdark 轉寄自 ptt.cc 更新時間: 2021-08-19 05:37:18
看板 C_Chat
作者 標題 [新聞] 駭客找出Steam錢包無限資金漏洞
時間 Mon Aug 16 12:00:31 2021
https://bit.ly/37M013S
駭客找出Steam錢包無限資金漏洞,Valve緊急修復 | 4Gamers
![[圖]]()
任何含有線上儲值付款功能的電子平台皆可能有漏洞風險,Steam 也不例外。上週 Hackerone 賞金平台有一位駭客發布了 Steam 的錢包系統存在一個漏洞,令其可在某個帳號底下無限生成資金,該功能經 Valve 確認後已緊急修正,並支付 7,500 美元的報酬給該駭客。 ...
![[圖]](https://img.4gamers.com.tw/news-image/42ca9fce-986b-4150-86e3-eb2b427f151c.jpg)
任何含有線上儲值付款功能的電子平台皆可能有漏洞風險,Steam 也不例外。上週
Hackerone 賞金平台有一位駭客發布了 Steam 的錢包系統存在一個漏洞,令其可在某個
帳號底下無限生成資金,該功能經 Valve 確認後已緊急修正,並支付 7,500 美元的報酬
給該駭客。
帳號底下無限生成資金,該功能經 Valve 確認後已緊急修正,並支付 7,500 美元的報酬
給該駭客。
根據 Hackerone 報告,代號 Ddrbrix 的駭客在 8 月 9 日私下提醒 Valve 注意錢包系
統漏洞,這個漏洞的原理基本上是攔截任何利用 Smart2Pay 支付方式的交易,修改儲存
資金的金額 —例如 1 美元改成 100 美元— 幾乎是 Steam 平台的偽鈔技術了。
統漏洞,這個漏洞的原理基本上是攔截任何利用 Smart2Pay 支付方式的交易,修改儲存
資金的金額 —例如 1 美元改成 100 美元— 幾乎是 Steam 平台的偽鈔技術了。
「我認為影響非常明顯,攻擊者可以此來賺錢,破壞 Steam 市場,用以低廉的價格出售
遊戲序號等等,」Ddrbrix 在報告中表示。
之後,Valve 官方人員快速測試該漏洞後緊急修復,並感謝這位駭客找出致命的漏洞,支
付 7,500 美元作為賞金。
許多遊戲發行商皆有與 Hackerone 的駭客進行合作找出漏洞,例如任天堂、Rockstar
Games 或 Riot Games,而 Riot 還曾為自己旗下的《特戰英豪》反作弊程式「Vanguard
」準備祭出 10 萬美元的賞金給發現漏洞的白帽駭客。
=====
在買遊戲的遊戲中開錢無限,大概是這個意思
--
十部常被人用於學術研究的純愛型作品
https://i.imgur.com/GyOsasd.png 咲子 https://i.imgur.com/fE4hU8y.png 勝子https://i.imgur.com/e9NJM3c.png 寧寧 https://i.imgur.com/IRpmjZo.png 舞櫻
https://i.imgur.com/PMWbgiI.png 亞愛 https://i.imgur.com/tQUc4MC.png 葵
https://i.imgur.com/130juok.png 美來 https://i.imgur.com/jAyLhqd.png 可南子
https://i.imgur.com/nmVVgPw.png 凜華 https://i.imgur.com/QWDEady.png 步
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.32.239.143 (臺灣)
※ 文章代碼(AID): #1X6UBY_P (C_Chat)
※ 文章網址: https://www.ptt.cc/bbs/C_Chat/M.1629086434.A.FD9.html
推 : Show me the money1F 08/16 12:02
噓 : 純愛2F 08/16 12:03
推 : 這反應真快3F 08/16 12:06
推 : 開金手指4F 08/16 12:06
推 : 7500美刀有點低哩....5F 08/16 12:07
推 : greedisgood6F 08/16 12:07
推 : 還能用就能把steam遊戲買齊破關了7F 08/16 12:07
推 : 7500元耶 好羨慕8F 08/16 12:07
→ : 才給75009F 08/16 12:07
→ : 7500就打發掉 真廉價10F 08/16 12:08
推 : 你各位覺得要多少?11F 08/16 12:09
推 : 20萬還不錯吧12F 08/16 12:09
→ : 真用這個BUG灌錢是犯法且帳號會被封鎖吧.13F 08/16 12:12
→ : 不能用價值看吧.難道我撿到別人家鑰匙還回去要索取對14F 08/16 12:12
→ : 方50%家產嗎
→ : 方50%家產嗎
推 : 給獎金已經夠給面子了 這種駭客是實打的犯罪 就算靠這方式16F 08/16 12:14
→ : 獲利也會被追討
→ : 獲利也會被追討
推 : 好險被發現18F 08/16 12:15
→ : 算其中的一成好了 那麼買遍steam遊戲需要兩百萬台幣嗎19F 08/16 12:15
→ : 終於能RTA這個買遊戲的遊戲了?20F 08/16 12:15
推 : 很多白帽本來就做功德的吧21F 08/16 12:17
推 : 白帽也被說犯罪 笑爛22F 08/16 12:17
推 : 絕對超過200萬台幣...23F 08/16 12:18
推 : 才7500美24F 08/16 12:19
推 : 16樓在說什麼...本來就是遊戲公司和平台合作25F 08/16 12:20
推 : 行為上要說他犯罪也沒錯啊 就只是要不要告的問題 真要告絕26F 08/16 12:21
→ : 對可以 只是留他們免費幫公司debug更符合利益罷了
→ : 對可以 只是留他們免費幫公司debug更符合利益罷了
推 : 這種賞金你不給人,等等被真正的壞人弄翻28F 08/16 12:21
推 : 7500真的有點少29F 08/16 12:22
推 : 找到漏洞但沒有濫用犯了什麼罪來著30F 08/16 12:22
→ : 找到漏洞不代表有進行破壞啊 有漏洞是你的問題31F 08/16 12:23
推 : 笑死 我的程式有漏洞被發現了,我要告死發現的人32F 08/16 12:24
推 : 16樓根本不知道什麼是白帽駭客吧 你自己去google33F 08/16 12:24
推 : 至少給10萬美吧?這算很嚴重的欸34F 08/16 12:25
推 : 有人是非黑即白的,駭客就是駭客,管你黑帽白帽35F 08/16 12:25
→ : 找到漏洞要完全排除使用過它幾乎不可能吧 行為上要完全不36F 08/16 12:25
→ : 給人能告的空間很難吧
→ : 給人能告的空間很難吧
→ : 某樓可能沒什麼網路知識,就別跟他計較了38F 08/16 12:26
推 : 沒被告就很好了還嫌錢少喔39F 08/16 12:26
推 : 笑爛,我們來解決發現問題的人,是這個意思嗎40F 08/16 12:26
推 : 還犯罪哩 笑死41F 08/16 12:26
→ : 才講沒多久又一位認為所有駭客都是黑的人出現了42F 08/16 12:26
推 : 沒加碼送遊戲喔43F 08/16 12:27
→ : 那當屁白帽,反正都會被吉44F 08/16 12:27
推 : 你敢告白帽駭客的話 就不會有白帽跟你合作了 剩下黑帽搞你45F 08/16 12:27
→ : 這跟醫生動手術你就一定要告他傷害一樣好笑
→ : 這跟醫生動手術你就一定要告他傷害一樣好笑
推 : 好歹給個一萬以上吧甚至給個十萬也不為過47F 08/16 12:28
→ : 我又沒說他是黑的 只是說站在公司的立場可以完全不給錢也48F 08/16 12:29
→ : 不給予任何感謝 白白收下這個資安debug的結果
→ : 不給予任何感謝 白白收下這個資安debug的結果
→ : 法律上是不行沒錯 道義上他救了G胖 7500跟v社比起來50F 08/16 12:29
推 : 有也不會用 不用花錢的steam還有什麼樂趣?51F 08/16 12:29
→ : 真的微不足道52F 08/16 12:29
推 : 人家特地來通知你哪裡有漏洞 你告他?你是不是覺得53F 08/16 12:29
→ : 多一個來攻擊你的人會比較爽?
→ : 多一個來攻擊你的人會比較爽?
→ : 我們公司絕對不跟恐怖分 我是說駭客談判55F 08/16 12:30
推 : 也是有聽過先把錢幹走,你付錢才還你的啦,但是這種就56F 08/16 12:30
推 : 你這種講法就跟你出門時鄰居提醒你門沒鎖,你還靠北鄰居57F 08/16 12:30
→ : 很有爭議了,但也是那種公司裝死修掉不給錢的太多58F 08/16 12:30
→ : 是不是想進家裡偷錢59F 08/16 12:30
推 : 跟你講你家窗戶破了還要被屋主告?笑死60F 08/16 12:31
噓 : 到底在講三小啦,要死是屁都不吭的把漏洞修好,就可看下61F 08/16 12:32
→ : 次人家找到漏洞會不會告訴你
→ : 次人家找到漏洞會不會告訴你
→ : 說法律上不行的說說是犯了那條法律啊63F 08/16 12:32
微軟減少抓漏獎金,研究人員索性公布Windows 10權限升級漏洞 | iThome
![[圖]]()
存放Windows作業系統關鍵檔案的system32資料夾,需要有權限才能存取,但有研究人員發現,只要在Windows 10開啟Hyper-V,就能破除這項限制,發現者以微軟調降抓漏獎金為由,逕自公布這項漏洞資訊 ...
![[圖]](https://s4.itho.me/sites/default/files/field/image/0908-win_10_sandbox.png)
推 : 白帽出發點不談啦,哪知道人家原始動機是想挖bug圖利還真66F 08/16 12:32
→ : 的只是想抓蟲?
→ : 的只是想抓蟲?
推 : 可能有讓駭客選遊全遊戲免費玩 vs 折現,兩種選項?68F 08/16 12:32
→ : 但他告訴遊戲公司,就該有賞,有沒有用bug圖利,那是另一69F 08/16 12:33
→ : 回事
→ : 回事
→ : 提供專業技術就是值得分享利益,有問題嗎?71F 08/16 12:33
→ : 你這點獎勵都不肯給,還要告他,以後真的沒白帽幫你抓蟲72F 08/16 12:34
→ : 了
→ : 了
→ : 喔喔,你的意思說是挖bug偷用,但是這個行不通74F 08/16 12:34
→ : 公司一下就發現了,而且這就真的有法律問題了
→ : 公司一下就發現了,而且這就真的有法律問題了
推 : 才給7500?76F 08/16 12:34
推 : 7500其實滿少的77F 08/16 12:35
→ : steam這種靠網路平台賺錢的,怎麼可能不瞭解白帽駭客78F 08/16 12:35
→ : 文化? 某樓的公司立場,顯然不適用網路平台公司。
→ : 文化? 某樓的公司立場,顯然不適用網路平台公司。
推 : 好像有人以為駭客本身就是違法的存在,笑死80F 08/16 12:36
推 : j仁兄要檢討白客駭帽前,請先檢討G胖底下的工程師為何沒81F 08/16 12:36
→ : 你了解的公司文化顯然缺乏與白帽駭客互動這塊82F 08/16 12:36
→ : 發現這麼嚴重的Bug,還要業外人士提醒83F 08/16 12:36
推 : 7500只是象徵意義而已啦==84F 08/16 12:36
推 : 笑死 白帽被說成是犯罪 有夠可憐85F 08/16 12:36
推 : 白帽子打我小學生時就聽過了,不懂得就別出來嘴砲了86F 08/16 12:37
推 : 反正你也沒時間玩…87F 08/16 12:38
→ : 會用白帽表示本身就已經沒有惡意了...88F 08/16 12:39
推 : 這漏洞影響很嚴重,要慶幸沒被公布89F 08/16 12:39
推 : 7500美應該是單純發給該位白帽的獎金,G胖公司有在跟該組90F 08/16 12:39
→ : 織合作表示應該本來就有贊助金之類的,可能組織本身也會
→ : 織合作表示應該本來就有贊助金之類的,可能組織本身也會
→ : 公司為了長期利益當然給白帽好生養著啊 只是說賞金多寡就92F 08/16 12:40
→ : 公司隨意啊 它沒有義務一定要給白帽任何金錢或福利啊
→ : 公司隨意啊 它沒有義務一定要給白帽任何金錢或福利啊
→ : 給予獎勵金之類的94F 08/16 12:40
推 : 駭客不能做慈善喔 = = 會這樣告知本來就沒打算洗錢吧95F 08/16 12:40
推 : 不知道白帽就算了還一直在嘴硬 到底?96F 08/16 12:40
→ : 不要嘴砲啦,乖乖承認不懂有這麼難喔?97F 08/16 12:41
→ : 沒有義務?是啊,看看上面那個網址,錢少給了就把自己找到98F 08/16 12:41
→ : 沒給錢可以啊 只是你說人家是在犯罪欸99F 08/16 12:41
→ : 的統統公佈在網路上,看你MS有多少人力去搞定那些漏洞100F 08/16 12:41
噓 : 樓上一堆鬼島邏輯 : 告幫你找bug bounty 的白帽101F 08/16 12:42
推 : 7500只是檯面上的啦 底下流動一般人不會知道102F 08/16 12:42
推 : 自己養的debug team一個月就不只7500了還不一定抓得到103F 08/16 12:43
→ : 給太少了吧104F 08/16 12:43
推 : 7500聽起來就像績效那樣的獎金吧,這些白帽應該平常就有105F 08/16 12:43
→ : 固定的薪資了
→ : 固定的薪資了
→ : 白帽又不是受僱員工哪來的工資???107F 08/16 12:44
推 : 還以為是SpiffingBrit108F 08/16 12:47
→ : 白帽有些是興趣在挖蟲,人家有其他正職109F 08/16 12:47
推 : 好了啦 犯罪兩個字都打出來就不要再遮了 無知不是問110F 08/16 12:48
→ : 題 不願意承認無知比較可怕
→ : 題 不願意承認無知比較可怕
推 : 反正我主要是要說7500太少這件事 完全沒立場吵 因為公司有112F 08/16 12:49
→ : 給錢就已經是很佛了 它完全沒有付這錢的義務在
→ : 給錢就已經是很佛了 它完全沒有付這錢的義務在
推 : 白帽很多做功德的耶114F 08/16 12:49
推 : 沒人給台階下,當然要繼續嘴硬,還扯到公司幹嘛給錢感謝115F 08/16 12:49
→ : 白帽駭客,搞不清楚狀況的人當然搞不清楚狀況
→ : 白帽駭客,搞不清楚狀況的人當然搞不清楚狀況
推 : 題外話 他們這類團體大多會跟公司合作幫忙找漏洞 我117F 08/16 12:50
→ : 之前公司做網路相關產品 去類似機構測過一次 測完真
→ : 的可以幫你抓一堆軟硬體破解手法出來 費用那時候是付
→ : 了5萬鎂
→ : 之前公司做網路相關產品 去類似機構測過一次 測完真
→ : 的可以幫你抓一堆軟硬體破解手法出來 費用那時候是付
→ : 了5萬鎂
推 : 被人看沒有而已啦,一個大公司幫他省了多少錢結果才給121F 08/16 12:51
→ : 一點打發,根本不尊重專業還在還很佛www
→ : 一點打發,根本不尊重專業還在還很佛www
→ : 公司是沒這個義務給錢 不過人家不是你養的也沒欠你 不123F 08/16 12:51
→ : 給就準備花更多擦屁股
→ : 給就準備花更多擦屁股
→ : 白帽通常公布的時候官方早就修了125F 08/16 12:51
推 : 人家valve在懸賞網站開懸賞,啊真的有人達成條件了126F 08/16 12:51
→ : 推文又有人在說不用付那筆錢,是不是當懸賞是放屁啊
→ : 推文又有人在說不用付那筆錢,是不是當懸賞是放屁啊
推 : 因為白帽發現Bug時一定是先聯絡官方,等確定修好後再跟官128F 08/16 12:52
→ : 方共同公佈有關這個Bug的事
→ : 方共同公佈有關這個Bug的事
→ : 7500應該是依照那個蟲的等級去定義的,我們外人可能覺130F 08/16 12:52
→ : 得危險,但是定義的人可能覺得就7500的價值
→ : 得危險,但是定義的人可能覺得就7500的價值
→ : 公司當然沒必要付錢給白帽啊 但是下次exploit就直接賣給132F 08/16 12:53
推 : 十六樓好了啦133F 08/16 12:53
→ : 競爭對手或是真正的犯罪組織了 自己想想吧 把法律當成一134F 08/16 12:53
→ : 切標準?你知道立法委員是群智障嗎?
→ : 切標準?你知道立法委員是群智障嗎?
推 : 一下說錢太少 一下又沒義務給錢 我真的快笑死136F 08/16 12:53
HackerOne
The Valve Bug Bounty Program enlists the help of the hacker community at HackerOne to make Valve more secure. HackerOne is the #1 hacker-powered secur ...
The Valve Bug Bounty Program enlists the help of the hacker community at HackerOne to make Valve more secure. HackerOne is the #1 hacker-powered secur ...
→ : 獎金擺在那,你不爽拿可以用這個漏洞轉黑錢啊。138F 08/16 12:53
推 : SpiffingBrit XD139F 08/16 12:54
→ : 人家公司在懸賞網站開的頁面啦,裡面回報的不只一筆140F 08/16 12:54
→ : ,沒義務大師快點來判斷一下這些有沒有義務給錢
→ : ,沒義務大師快點來判斷一下這些有沒有義務給錢
→ : 從新聞來看這案子似乎不是合作 所以才說抓蟲過程也可能有142F 08/16 12:55
→ : 犯罪的可能 而且最主要是他抓到蟲除了告知公司領賞外沒有
→ : 有其他合法變現的可能
→ : 犯罪的可能 而且最主要是他抓到蟲除了告知公司領賞外沒有
→ : 有其他合法變現的可能
推 : 也有可能這Bug使用難度高的關係,不是隨便一個Steam玩家145F 08/16 12:55
→ : 看懶人包就立刻會用的狀況,所以獎金才會有認知上的落差
→ : 看懶人包就立刻會用的狀況,所以獎金才會有認知上的落差
推 : 怎麼變成犯罪的可能了?不是說是實打的犯罪嗎?147F 08/16 12:56
→ : 那j仁兄邏輯蠻悲哀的,把所有人都當做賊去防範,不願相信148F 08/16 12:57
推 : 看推文就知道台灣為什麼會是鬼島了 先解決敢提出問題的人149F 08/16 12:57
→ : 難怪三不五十能看到指鹿為馬 國王新衣的事情
→ : 難怪三不五十能看到指鹿為馬 國王新衣的事情
→ : 有人是好心主動幫忙,就算是為了除蟲獎金,該人有做了什151F 08/16 12:58
推 : 給抓bug獎金google和微軟這些科技公司都有152F 08/16 12:58
→ : 麼其他犯罪的事情嗎?153F 08/16 12:58
推 : 以valae的規模7500就是在羞辱人啦154F 08/16 12:58
→ : 又不是只有valve在給 早是就行之多年的制度了155F 08/16 12:58
推 : 公司沒義務付錢 白帽也沒義務主動告知阿156F 08/16 12:59
推 : 一開始就說白帽這樣是犯罪,後面怎麼扯都是屁了啦,幫157F 08/16 12:59
→ : 人抓蟲還要被當罪犯
→ : 人抓蟲還要被當罪犯
推 : 白帽也不是只靠賞金為收入,靠名氣拿固定收入也很重要159F 08/16 13:00
→ : 所以大公司才會懸賞bug鼓勵人家告知160F 08/16 13:00
推 : 新聞沒採訪這位白帽,所以無法得知7500到底對他而言是多161F 08/16 13:01
→ : 還少,如果真認為少的話可能早就講話了吧
→ : 還少,如果真認為少的話可能早就講話了吧
→ : 至於錢的問題真的沒必要討論 人家覺得少可能下次就不幹163F 08/16 13:01
→ : 而已
→ : 而已
→ : 我從頭到尾都在說賞金太少的爭議 抓語病打也很無聊啊 會提165F 08/16 13:02
→ : 犯罪只是在說抓到蟲也沒有其他輕鬆變現的管道 到頭也只能
→ : 看公司良心給多少就多少
→ : 犯罪只是在說抓到蟲也沒有其他輕鬆變現的管道 到頭也只能
→ : 看公司良心給多少就多少
推 : 怎麼會沒變現可能 把方法拿去賣一定會有人出更高價168F 08/16 13:02
推 : 醫生幫你開刀 你告他傷害罪的概念169F 08/16 13:02
→ : 另一個可能是人家想要的是名氣而不是錢,畢竟可以找到該170F 08/16 13:02
→ : 駭客怎麼懂行情 推文說不夠就不夠 懂171F 08/16 13:02
→ : 你說實打實的犯罪 然後現在說別人是抓語病ww172F 08/16 13:03
→ : 公司的工程師找不到的Bug,而且公司規模那麼大173F 08/16 13:03
推 : 少的也不能怎摸樣因為真的不是義務,但丟臉的是valve174F 08/16 13:03
→ : 之後我看願意幫助的白帽都要沒了喔
→ : 之後我看願意幫助的白帽都要沒了喔
推 : 說7500美元少的,有多少人是真的可以當下拿出7500美元176F 08/16 13:03
推 : 資格認證大師又要變成語病大師了喔,讚讚讚177F 08/16 13:04
推 : 16樓好了啦,冷靜一下再看自己說的話,不要秀下限178F 08/16 13:04
推 : 輕鬆變現的管道?以這種程度的工程師,你真認為找不到地方179F 08/16 13:05
→ : 賣情報嗎?不要在那邊把臉伸出來給人打好嗎
→ : 賣情報嗎?不要在那邊把臉伸出來給人打好嗎
推 : 7500有很多嗎?你要不要看一下美國那邊的工資開多少?181F 08/16 13:06
推 : 拿去賣就真犯罪啦 我原本想表達是要拿這bug變現就一定會犯182F 08/16 13:07
→ : 罪 所以他根本沒有除了回報公司以外的選擇
→ : 罪 所以他根本沒有除了回報公司以外的選擇
推 : 你這個又講錯了,誰說賣情報就一定是犯罪?184F 08/16 13:09
推 : 不知道變現不變現有什麼好吵的 人家搞不好根本不在意185F 08/16 13:11
→ : 這些錢 旁邊喊什麼燒啊
→ : 這些錢 旁邊喊什麼燒啊
→ : 好猛187F 08/16 13:14
推 : 玩手遊發現有bug所以上來po文問 這樣犯罪了嗎188F 08/16 13:15
推 : 16f就台灣老闆的思維吧189F 08/16 13:17
→ : 你發現我網頁的bug 我要告死你^^
→ : 你發現我網頁的bug 我要告死你^^
推 : 某推文真的讓人開眼界191F 08/16 13:17
推 : 我看到機車鑰匙沒拔 幫他拿下來放到前面置物櫃 請問我192F 08/16 13:17
→ : 犯罪了嗎
→ : 犯罪了嗎
→ : 看到朋友沒在七夕陪他女朋友所以我幫忙陪,請問有犯法嗎194F 08/16 13:19
推 : 幹嘛跟那個id認真 只會一直跳而已195F 08/16 13:19
推 : 樓上比喻錯誤喔,白帽只有告知車主沒有動手拔鑰匙喔196F 08/16 13:20
→ : 凹成這樣還不如不要回冷處理,回推回到這麼沒下限,是不是197F 08/16 13:20
→ : 不知道什麼叫丟人現眼?
→ : 不知道什麼叫丟人現眼?
推 : 有夠寒酸 7500199F 08/16 13:21
推 : 最一開始不就一口咬定是犯罪嗎200F 08/16 13:22
推 : 犯罪ww16摟先去查查白帽駭客是什麼好嗎201F 08/16 13:25
推 : 10萬美我都不覺得多...202F 08/16 13:25
→ : 7500是打發叫化子?
→ : 7500是打發叫化子?
推 : 跳針無敵 別人說一句拿十句抵 我以為來到八ㄍ..咦?204F 08/16 13:26
推 : 一般漏洞獎金會根據攻擊手法以及危害程度來決定205F 08/16 13:26
推 : 說真的少的大概是半懂吧206F 08/16 13:28
→ : 黑客沒有立場去跟公司要更多
→ : 公司願意給他ok就結案了
→ : 要更多等等被起訴 再公布漏洞不是雙輸嗎
→ : 黑客都有自己底線在
→ : 黑客沒有立場去跟公司要更多
→ : 公司願意給他ok就結案了
→ : 要更多等等被起訴 再公布漏洞不是雙輸嗎
→ : 黑客都有自己底線在
→ : 羨慕211F 08/16 13:31
推 : 在台灣你會被告212F 08/16 13:32
→ : 他給多少當然都沒錯,我只覺得你那麼大公司讓人看低213F 08/16 13:33
推 : 又多了一個跳針id 可以黑單了嘻嘻214F 08/16 13:33
推 : 奇怪,拿錢的都沒說什麼了,旁邊在喊很少是怎樣215F 08/16 13:35
推 : 7500真的給得有點少216F 08/16 13:36
推 : 好歹加個0217F 08/16 13:41
推 : 16樓笑死,還 實打 勒218F 08/16 13:41
推 : 給的少就是提高下次駭客利用漏洞搞你的機會啊 看公司要219F 08/16 13:43
→ : 怎麼衡量囉
→ : 怎麼衡量囉
推 : 那賞金也太便宜了吧221F 08/16 13:44
推 : 笑死被打臉還一直跳針 哭哭哦 哈哈222F 08/16 13:45
推 : 駭客賺進二十幾萬223F 08/16 13:45
推 : 要更多錢不會被起訴好ㄇ,這種本來就類似僱傭關係(類224F 08/16 13:46
→ : 似冒險者接案XD),要求加點薪是ok的
→ : 似冒險者接案XD),要求加點薪是ok的
推 : 為啥一堆人覺得7500美很少226F 08/16 13:48
推 : 某樓秀下限 這就像是張貼尋狗啟示 別人幫你找到狗然後還227F 08/16 13:48
→ : 說沒必要給對方回報 有夠好笑
→ : 說沒必要給對方回報 有夠好笑
推 : 因為真的蠻少的,這個損失上限很高,fb之前斗內漏洞給229F 08/16 13:48
→ : 有時候追求的不是金錢 而是我先發現230F 08/16 13:49
→ : 1萬美,特斯拉1元換400萬汽車給4萬美231F 08/16 13:50
→ : 樓上講的那個最近就有實例了,有個盜了價值6.1億美元
→ : 樓上講的那個最近就有實例了,有個盜了價值6.1億美元
推 : 我也覺得7500有點少 不過可能也是V社他們對自己bug的嚴重程度233F 08/16 13:51
→ : 去決定賞金的
→ : 去決定賞金的
→ : 的加密貨幣他全還,官方給50萬美元賞金他不要235F 08/16 13:51
推 : fb跟特斯拉的規模都不知道比valve大幾倍== valve公司沒236F 08/16 13:52
→ : 有上市 員工大概也才三百多人
→ : 有上市 員工大概也才三百多人
推 : 不給的話下次找到的漏洞搞不好更嚴重 給了還能刷一波238F 08/16 13:53
推 : 不能刪留言的好處就是可以看到有人一直跳針xD239F 08/16 13:56
→ : 駭客對金額表示過意見嗎?240F 08/16 13:58
推 : 醫生開刀一定都犯了傷害罪 阿原來有人說過了241F 08/16 14:02
推 : 台灣公司,你居然發現有漏洞,不管真的假的先把你告上法242F 08/16 14:03
→ : 院。
→ : 院。
推 : 某樓邏輯太秀了吧,跳針之鬼244F 08/16 14:05
推 : 7500美XD245F 08/16 14:09
推 : 被密醫醫好之後告傷害 真賺246F 08/16 14:10
推 : 7500超少吧247F 08/16 14:10
→ : 總是有不懂裝懂的拉不下臉248F 08/16 14:10
推 : 檯面上白帽 檯面下黑帽:)249F 08/16 14:11
推 : 白帽子就是賺心安理得的賞金,不是所有人會去違法250F 08/16 14:14
→ : 跳針笑死XD你乾脆說臥底警察也要照組織犯罪條例抓去關251F 08/16 14:20
→ : 好了。
→ : 好了。
推 : 好了啦 笑死253F 08/16 14:20
→ : 這麼大包的漏洞 7500美???254F 08/16 14:21
噓 : 就寫合作的賞金平台了還在耍什麼白癡 去讀書啦255F 08/16 14:23
推 : 覺得多一個零價位才差不多256F 08/16 14:24
→ : 這種漏洞很重要 但駭客找漏洞的工作不是天天有
→ : 價格太低是叫駭客沒工作時要吃自己?
→ : 這種漏洞很重要 但駭客找漏洞的工作不是天天有
→ : 價格太低是叫駭客沒工作時要吃自己?
推 : 上面都有人貼hackerone網址了,點進去看就不用吵了259F 08/16 14:30
→ : https://i.imgur.com/6FUFcqQ.png
→ : https://hackerone.com/reports/1295844
→ : https://i.imgur.com/6FUFcqQ.png
→ : https://hackerone.com/reports/1295844
![[圖]](https://i.imgur.com/6FUFcqQ.png)
HackerOne
I have found vulnerability which allows attacker to generate steam wallet balance.
Firstly you will have to change yours steam account email to someth ...
I have found vulnerability which allows attacker to generate steam wallet balance.
Firstly you will have to change yours steam account email to someth ...
→ : 還好他沒直接買那個 全遊戲整合包262F 08/16 14:37
→ : 攔截 request 修改儲存金額就行?263F 08/16 14:42
→ : 涉及金流後端還沒驗金額確認喔
→ : 這 bug 有點誇張
※ g5637128:轉錄至看板 Steam 08/16 14:46→ : 涉及金流後端還沒驗金額確認喔
→ : 這 bug 有點誇張
→ : jupto又出來鬧笑話了266F 08/16 14:55
推 : 笑死 抓白帽的要不要順便告醫師傷害罪267F 08/16 14:57
推 : showmethemoney268F 08/16 14:57
推 : 484有人不懂白帽的意思?還犯罪哈哈269F 08/16 14:59
→ : 誒 吵錢少的 都公開獎賞了還在吵什麼啊?270F 08/16 14:59
→ : 典型的旁人喊燙欸
→ : 典型的旁人喊燙欸
推 : STEAM code是請大學生碼的嗎 也太扯==272F 08/16 15:01
→ : 而且駭客最好沒工作啦 現在資訊科技根本缺人273F 08/16 15:03
推 : 這是白客吧274F 08/16 15:05
推 : 7500很少好嗎 ㄧ被攻擊是多少M損失275F 08/16 15:18
推 : 駭客有分白帽跟黑帽吧276F 08/16 15:28
→ : 這個是白帽沒事幫人抓bug的
→ : 但給的有點少QQ
→ : 這個是白帽沒事幫人抓bug的
→ : 但給的有點少QQ
推 : 才7500駭客虧大了279F 08/16 15:33
推 : 告下去就台灣做法啊,資訊人都該認識城邦集團280F 08/16 15:42
推 : 早知道當黑帽281F 08/16 15:48
推 : 以STEAM來講 7500真的算少了 不過至少是正當錢XD282F 08/16 15:51
推 : 在台灣 這駭客大概就被抓 然後被告 求償了283F 08/16 15:52
推 : 玩買遊戲的遊戲開無限金錢金手指!太強了吧!284F 08/16 15:59
推 : 才7500 等著下次再被攻破嗎XDD285F 08/16 16:04
推 : 會利用bug圖利的就不是白帽了好嗎 一堆邏輯死去286F 08/16 16:07
推 : hackerone上7500算普通價吧287F 08/16 16:08
→ : 而且valve自己bounty就定那個價,會打的本來就知道
→ : 而且valve自己bounty就定那個價,會打的本來就知道
推 : 台灣就是腦殘賤畜刁民太多289F 08/16 16:13
推 : 還好是白帽290F 08/16 16:14
→ : 某樓是諷刺台灣資訊公司吧
→ : 被人找到漏洞善意提醒還不補
→ : 漏洞被利用後就把人家往死裡告
→ : 某樓是諷刺台灣資訊公司吧
→ : 被人找到漏洞善意提醒還不補
→ : 漏洞被利用後就把人家往死裡告
推 : 人家要是覺得bounty太低 就自己用這個漏洞賺了啦294F 08/16 16:19
→ : 不就是衡量過風險覺得領這個bounty比較快嗎 沒什麼過低
→ : 不就是衡量過風險覺得領這個bounty比較快嗎 沒什麼過低
→ : 打bounty也不只為錢也有人為名吧296F 08/16 16:20
→ : 為名有時候也是為了未來的錢啊297F 08/16 16:38
推 : 平時沒薪水,有功有賞金,也算不錯啦298F 08/16 16:48
推 : 起碼7萬5鎂吧?299F 08/16 17:09
推 : 意思意思給個7500 V社賺爆300F 08/16 17:26
推 : 其實大一點的有網路業務的公司大多有聘用駭客團隊定期301F 08/16 17:28
→ : 對自家系統做安全評估. 有給公司報過漏洞的人通常能
→ : 優先獲得聘用. 7500是小錢, 重點在獲得的業界信譽.
→ : 對自家系統做安全評估. 有給公司報過漏洞的人通常能
→ : 優先獲得聘用. 7500是小錢, 重點在獲得的業界信譽.
→ : 我記得某個公司還去告駭客304F 08/16 17:34
推 : 噗 某些推文 真是令人不意外 無知還能硬拗 你覺得公司沒
→ : 有付錢的義務 難道白帽就有告知的義務了喔
推 : 噗 某些推文 真是令人不意外 無知還能硬拗 你覺得公司沒
→ : 有付錢的義務 難道白帽就有告知的義務了喔
推 : 我想前面有推在講過問題了307F 08/16 18:38
→ : 7500美並不是對價關係
→ : 不是心裡預估「你損失更多」做為依據
→ : 路上撿到200萬 並不會因為
→ : 「酬謝應該給我更多 不然你連200萬都拿不回來」
→ : 既然是白帽 做聲望往往居多 也有本身就是業界資安
→ : 至於雙方究竟是怎麼決定的
→ : 我想這個答案 只有他自己知道了
→ : 7500美並不是對價關係
→ : 不是心裡預估「你損失更多」做為依據
→ : 路上撿到200萬 並不會因為
→ : 「酬謝應該給我更多 不然你連200萬都拿不回來」
→ : 既然是白帽 做聲望往往居多 也有本身就是業界資安
→ : 至於雙方究竟是怎麼決定的
→ : 我想這個答案 只有他自己知道了
推 : Fpe 嘛 我年輕時也用過315F 08/16 18:45
推 : 是7500美金!總比被抓到要背罪名+steam永ban 來得好316F 08/16 19:04
→ : 看到某幾樓 突然想到檯面上很多死不道歉的政治人物317F 08/16 21:01
→ : …
→ : …
推 : 台灣真的有白帽被告XD319F 08/16 22:00
推 : 樓上講那麼多,真遇過白帽的有幾個?遇過就知道了,白320F 08/16 22:21
→ : 帽就是來要錢的,沒人會做白功。按上面的比喻的話比較
→ : 像是告知你家門沒鎖,然後賴著你一定要給錢才走
推 : 你給了錢,他又說你窗戶有問題,再敲一筆。你不給嘛
→ : 誰知道他會不會由白轉黑?不請自來的白帽其實很頭痛
→ : 帽就是來要錢的,沒人會做白功。按上面的比喻的話比較
→ : 像是告知你家門沒鎖,然後賴著你一定要給錢才走
推 : 你給了錢,他又說你窗戶有問題,再敲一筆。你不給嘛
→ : 誰知道他會不會由白轉黑?不請自來的白帽其實很頭痛
推 : 推文想漫天喊價wwwwwwwwwwww325F 08/16 22:36
推 : 白帽駭客被說成犯罪…我的天阿…326F 08/17 03:22
推 : 賞金平台上的懸賞還實打實的犯罪……不懂裝懂笑死327F 08/17 09:12
--
※ 看板: ACG 文章推薦值: 0 目前人氣: 0 累積人氣: 213
作者 SuperSg 的最新發文:
![]()
實力優秀!索尼第一方已連續十年獲TGA年度最佳提名 TGA 2024遊戲獎項提名已於11月19凌晨正式公佈,在年度最佳提名遊戲方面,《黑神話: 悟空》、《艾爾登法環:黃金樹幽影》、《小丑牌》、《暗喻 …39F 22推- 18F 6推
![]()
在看一本武俠大亂鬥,裏頭融合了金庸、古龍、黃易....等等作品, 其中突然出現了一個令我很陌生的名字:江玉燕 嗯?姓江,那應該是出自於絕代雙驕,但我不記得有叫玉燕的人啊? 查了一下才發現原來真的是絕 …40F 19推![]()
係真ㄟ!買奶粉送PS5,父衝藥局瘋買116罐 奶粉真的能換PS5,這不是爸爸們買遊戲機的藉口,而是藥局推出的促銷方法,甚至還加 碼對中發票就送名車、名牌包,就有爸爸看了很心動,一次就買了116罐奶粉 …48F 28推![]()
Disney Reveals ‘Snow White’ Remake Is Set To Blow Its Budget 懶人包 1.截至2023年底,真人版白雪公主的成本就已飆升至2.694億美元 …138F 100推 1噓
點此顯示更多發文記錄
回列表(←)
分享