漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-063394
漏洞标题:完美世界某游戏物品兑换码批量泄露
相关厂商:完美时空
漏洞作者: 笨猪
提交时间:2014-06-03 17:59
修复时间:2014-07-23 19:36
公开时间:2014-07-23 19:36
漏洞类型:敏感信息泄露
危害等级:中
自评Rank:13
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-06-03: 细节已通知厂商并且等待厂商处理中
2014-06-03: 厂商已经确认,细节仅向厂商公开
2014-06-13: 细节向核心白帽子及相关领域专家公开
2014-06-23: 细节向普通白帽子公开
2014-07-03: 细节向实习白帽子公开
2014-07-23: 细节向公众公开
简要描述:
某游戏的物品发放出了问题,导致发放给其他玩家的兑换码批量泄露
详细说明:
今天去兑换希望之光发现的,泄露信息的接口为Dota2的希望之光发放系统的接口:http://event21.dota2.com.cn//dota2/hopelight/dota2Hopelight!getTopPrize.action
可以看到,将物品的兑换码也泄露了出来,满满的一页,那么如果玩家没有及时在dota2客户端中兑换的话,他人得到这个激活码,可以获得大量其他人的奖品,卡尔套什么的一堆吧,十分可怕。
漏洞证明:
修复方案:
建议暂停业务,修改接口。
版权声明:转载请注明来源 笨猪@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2014-06-03 18:27
厂商回复:
感谢笨猪对完美世界的关注,漏洞已修补。礼品明天发出,再次感谢!
最新状态:
暂无