• Welcome to Gangsters.pl - Forum gangsterskie. Please log in or sign up.

Błąd bezpieczeństwa w grze

Zaczęty przez admin, Lipiec 12, 2015, 22:50:32 PM

Poprzedni wątek - Następny wątek

admin

W dniu dzisiejszym gracz crammo znalazł i wykorzystał (poinformował administrację o tym fakcie, ale tylko 2h przed upublicznieniem buga) dziurę w bezpieczeństwie gry Gangsters.pl.
Błąd polegał na możliwości dodania do ścieżki URL avatara wpisania dowolnego ciągu znaków, w tym kodu javascript.

W tym przypadku było to coś takiego:
gangsters.pl w przypadku, gdy odwiedzający trafił na avatar tego gracza. Po załadowaniu avatara ładował się skrypt, podmieniający tło na klip youtube (swoją drogą efekt był całkiem ciekawy).

Dziękujemy graczowi za znalezienie tej luki, jednak w przyszłości prosimy o niewykorzystywanie ich w tak widoczny sposób, bo budzi niepokój u wielu graczy.

Jednocześnie chcieliśmy poinformować, że błąd ten nie pozwalał na dostęp do serwera lub danych się na nim znajdujących.

Błąd został zablokowany (poprzez blokadę możliwości zmiany avatara) niezwłocznie po ujawnieniu się w dziale Bar, a naprawiony 2h później.

Pozdrawiamy,
Załoga Gangsters.pl