当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-063394

漏洞标题:完美世界某游戏物品兑换码批量泄露

相关厂商:完美时空

漏洞作者: 笨猪

提交时间:2014-06-03 17:59

修复时间:2014-07-23 19:36

公开时间:2014-07-23 19:36

漏洞类型:敏感信息泄露

危害等级:中

自评Rank:13

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-06-03: 细节已通知厂商并且等待厂商处理中
2014-06-03: 厂商已经确认,细节仅向厂商公开
2014-06-13: 细节向核心白帽子及相关领域专家公开
2014-06-23: 细节向普通白帽子公开
2014-07-03: 细节向实习白帽子公开
2014-07-23: 细节向公众公开

简要描述:

某游戏的物品发放出了问题,导致发放给其他玩家的兑换码批量泄露

详细说明:

今天去兑换希望之光发现的,泄露信息的接口为Dota2的希望之光发放系统的接口:http://event21.dota2.com.cn//dota2/hopelight/dota2Hopelight!getTopPrize.action
可以看到,将物品的兑换码也泄露了出来,满满的一页,那么如果玩家没有及时在dota2客户端中兑换的话,他人得到这个激活码,可以获得大量其他人的奖品,卡尔套什么的一堆吧,十分可怕。

漏洞证明:

QQ截图20140603174956.jpg

修复方案:

建议暂停业务,修改接口。

版权声明:转载请注明来源 笨猪@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-06-03 18:27

厂商回复:

感谢笨猪对完美世界的关注,漏洞已修补。礼品明天发出,再次感谢!

最新状态:

暂无