Fail with honor rather than succeed by fraud
Вчера, отдыхая после рабочей недели и упоровшись нейрометаболическими стимуляторами, как всегда полез в Интернет, и что-то дернуло меня покопаться в устройстве системы приема платежей на сайте Steam. После получасовой возни нашел занятный баг. Оказалось, что у агрегатора, через которого Steam принимает оплату по WebMoney, существует недоработка в системе проверки платежей (причем этот же агрегатор используется Battle.net, то есть World of Warcraft и Startcraft 2 можно попробовать "оплатить" этим же способом).
Принцип довольно прост. Все основано на ошибке агрегатора платежей, через которого Steam принимает оплату по WebMoney. Итак, рассмотрим поэтапно:
1. Заходим в онлайн-магазин Steam через браузер и добавляем интересующие игры в корзину.
2. Выбираем купить для себя или в подарок, переходим на страницу выбора системы оплаты и выбираем WebMoney.
3. Тут нам понадобится плагин Tamper Data для FireFox или Charles Web Debugging Proxy. Запускаем плагин или Charles, убеждаемся, что он протоколирует запросы. Теперь нажимаем "Продолжить", на следующей страницу соглашаемся с правилами и нажимаем "Перейти на WebMoney".
4. На сайте вебмани нам понадобятся некоторые данные со страницы. Запишите их куда-нибудь.
И далее в html коде страницы
В итоге у Вас должны быть записаны следующие данные (естественно, цифры могут быть другие):
|
1 2 3 |
Valve-000000547900439471290000100001-974109215537805183 PAYMENTREFERENCE" type="hidden" value="547932353339" 9.99 WME |
5. Теперь нам понадобится плагин Live HTTP Headers для FireFox. Сформируйте с помощью него следующий POST-запрос:
|
1 |
URL: https://na.gcsip.com/wpl/wpl |
Тело запроса:
LMI_PAYMENT_NO=0&LMI_SYS_INVS_NO=ТУТ_ЛЮБОЕ_ЧИСЛО&LMI_SYS_TRANS_NO=ТУТ_ЛЮБОЕ_ЧИСЛО&LMI_SYS_TRANS_DATE=20110327 10:01:14&REF=VAR1&PAYMENTREFERENCE=VAR2&LMI_PAYMENT_AMOUNT=VAR3
Где вместо VAR1 необходимо подставить первое число, идущее после "Valve" (в данном случае это 000000547900439471290000100001), в VAR2 значение поля PAYMENTREFERENCE (в данном случае это 547932353339) и в VAR3 сумму платежа (просто число, без указания валюты, в данном случае это
9.99). Значение LMI_SYS_TRANS_DATE лучше поменять на текущее время для правдоподобности.
В итоге получим примерно такой запрос:
Если все сделано правильно, то после нажатия клавиши "Повтор" в браузере откроется страница с текстом "Yes".
6. И, наконец, в адресной строке браузера пишем
https://store.steampowered.com/paypal/success/VAR1/?REF=VAR2&RETURNMAC=VAR3, где VAR1 - это второе число, идущее после текста Valve (в данном случае 974109215537805183), а VAR2 - первое число (в данном случае 000000547900439471290000100001). VAR3 берется, например, из URL при обращении по адресу na.gcsip.com/orb/orb?ACTION=DO_START....&MAC=****.
Вот как это выглядит в Tamper Data:
А вот так в Charles:
Получаем URL следующего вида:
|
1 |
https://store.steampowered.com/paypal/success/974109215537805183/?REF=000000547900439471290000100001&RETURNMAC=FEGc4qxL0l1MJ8ryxdKiVlyYQ3EBdZMy%2Be969%2FoNep4%3D |
Теоретически Steam может выдать, что необходимо открыть Steam-клиент или сообщить о ошибке проведения платежа, однако, буквально через минуту платеж будет засчитан и вы сможете пользоваться купленной игрой.
Для тех, кто плохо воспринимает подобные инструкции, прилагаю лог пакетов из Charles и видео (лучше смотреть в 720p непосредственно на ютубе).
Лог пакетов: скачать.
P.S. Для тех, кто прошел во втором квесте уровень с Бокси, - маленький бонус (кто первый успеет).
https://na.gcsip.com/wpl/wpl
что-то с этим не получаеться
хм это получаеться любые сайты так ломать можно где олата идет через веб мани?
https://na.gcsip.com/wpl/wpl а что это за сайт и зачем он?
скайп уже не работает?
Да нет работает, ток что проверил))
А за пополнения счета в скайпе не че не будет?
А ты как думал?? Поедешь в Магадан!лес пилить
вынесут дверь и заберут твой комп
спс) а серьезно?
Срок 10 лет будет за 10 баксов, 1 бакс=1 год! Любой сайт с вм не прокатит!
ты шутишь?))))))люди себе по 100 евро ложут и нече)
Наложить любой сможет, а вот ответить =)))))
А я смогу ответить!
а как в скайпе делать?
Подскажите пожалуйста какие еще сайты можно ломануть этой шнягой?????
люди я когда повтор жму в Live HTTP Headers не че не происходит и окно не открываеться
не повезло тебе пацан
Отбой поцаны %)
В настоящее время этот способ оплаты недоступен для использования. Пожалуйста, обратитесь в службу поддержки или воспользуйтесь другим способом оплаты вашей покупки и попробуйте еще раз.
Уже накрыли способ?
еще вчера, хотя акк стима еще жив.
https://na.gcsip.com/wpl/wpl не работает вообще
http://steamcommunity.com/groups/7-Russia/announcements/detail/217504477284814372
Народ, поделитесь ссылкой из пункта 6 для скайпа. cr4sh9r4y @ gmail.com
Пожалуйста тоже поделитесь :)
Psihovich @ russia.ru
не делитесь. изза таких дибилов все и фиксят
может кто для батлы подсказать?
лол, они просто изменили адрес паги
купил себе кризис, пойду гамать
Сейчас купил? вм же все равно не работает
не подскажешь?
Пиздабол еба
Нормальные америкосы не работают с вм. Только жадные скайпостимобаттлики=) Амазоны и т.д. только с палками и кредитками работают
Логика школьника. "Нормальные" корпорации как раз и работают со всеми популярными системами оплаты.
А аукционы типа eBay и Amazon не работают с wm, потому что это Российская система оплаты, аналогичная paypal.
мда жалко что закрыли =(( за то скайп пока не закрыли всё работает =))
интересно,если я уже скупился у близов на тысяч 5,они за мной приедут?)
А какая там ссылка,при удачной оплате?
как ты с близами? напиши плиз [email protected]
а толку, акк заблочат и все, мне буквально сразу забанили.
Это видео более недоступно из-за заявления о нарушении авторских прав, полученного от Valve Software.
Сожалеем об этом.
жестокие. жалко им, чтоли?
Видео, если кому надо :
http://www.sendspace.com/file/tzexlu
http://www.multiupload.com/MOVKTEVLVZ
пополнил 2 акка скайпа на 4000 евро,2 дня уже живут(:
kaimi,спасибо за приколюху:)
поэтому сука и нехуй в паблик такое кидать, школота ебаная хуй пизда джигурда
не чирикай стерва ебаная.каими и выложил в паблик,чтобы быстрее баг прикрыли.так что нехуй пиздеть.ебашь поработай высерок,привыкли бля только пиздить и халявничать.
вот ты реально демон школозавр,базар нихуя не фильтруешь.
Там же по 10 евро тока, ты 80 раз пополнял чтоли?
нет конечно.
там есть одна фишка,проста надо голову включить,может допрет.
Какая ссылка в 6м пункте,на батлнете,скажите плз
не говорите
закрылсся
Близарды легко ломаются,прикупил вов и старкрафт 2 :)
http://vkontakte.ru/topic43139_24524068
Цитирую:
Блин, столько вопросов в Steam и ЛС. Так, отвечаю для всех, и один раз. Да, действительно была утечка кода Steam. Хакеры нашли баг, с помощью которого, можно было бы покупать игры в Steam бесплатно, путём подмены кода. Я лично, заявил об этом баге, в Support, за что мне выразили благодарность и сказали что баг прикроют (и думаю не только я, не все же халявщики). В данный момент покупка через WebMoney - заблокирована. Спасибо тем умникам, которые выложили утечку в public. Вы идиоты ребята, Вы сами себе подписали приговор (как и те кто купил игры или гифты таким способом).
Давайте скажем ему огромное спасибо!!!
далбаеб
словлю обосцу
Ты гнида тупая,мудак обконченный,сидел бы на своей помойку и молчал бы.Если я тебя увижу урою сучий потрах!!!!!
ссылка уже не действует
Ну и еблан, буграм при каждом удачном случае надо показывать хрен. Ведь по большому счету в стиме продается даже не воздух, так, просто сгенерированые ключи, и цены, хочу заметить, для стран СНГ ДАЛЕКО НЕ ДЕМОКРАТИЧНЫЕ.
И Каими молодец, ведь чем больше ущерб для них, тем лучше для нас. Вот ТАКИМ людям надо давать Героя рунета, а не всяким там мэдисонам и плюсстопицотам.
Парни близзард-ссылку киньте плз при удачной оплате, а то хз где ее искать если не проплачивать. 388195710 или [email protected]
Спасибо
Кстати оплатилось и без 6 пункта, но все равно ссылку хочется
Мне лично срать на вм т.к. купить можно и кредиткой или еще лучше через поставщиков буки, акеллы и т.д. а ёёё, кто пасёт тот пожизненно х** сосет! Лижи анус дальше забугорным уродам=)
ссылку на кидалу дайте
Пополнение скайпа пишет "No", у всех так?(
FIXED
При пополнеие скайпа пишит no почему?!
Потому что fixed.
И что делать!?
уроки.
Разве не ясно что такое FIXED?
скайп тоже прикрыли (
Kaimi - Робин Гуд!!!
Давайте скажем ему огромное спасибо.
Если бы не он, то как могли бы русские пенсионеры с их низкими зарплатами купить GTA IY в Steam за целый косарь?!
А кто настучал в Steam явно имеет кучу игр и считает себя самым крутым, поддерживая США, жирующую за весь мир деньгами!
прикрыли изза ебаной школоты, в каждую школу во всей россии зайду и пиздов каждому школотенку надаю
Уважаемый kaimi не могли бы вы еще поискать аналогичные баги?
обидно.
Каими, ты рассказал, сразу наплыла школота, которая стала этим барыжить, нафигачила себе по 100500$ и по 1000 игр и стала писать в саппорт. Зря так делаешь, особенно те пострадали - кто уже знал о баге и сам делал по 2-3 игры для безпалевности..
Баг снова работает!!!
у меня в журнале браузера после просмотра той темы осталась ссылка на страницу её создателя т.е. написавшего про баг в стим
*хнык* глобал коллект прикрыл это дело :(
правда, что баг опять работает?
нет
да
пишет yes
Kaimi спасибо тебе большое за steam!
Скажите, зачем этот сайт и что он делает - https://na.gcsip.com/wpl/wpl.
уже ничего, пофиксили
KAIMI, еще предложений не поступало работы в службе безопасности от компаний с 1000000$ годовых доходов?=)
печально:)
Вы бы еще больше афишировали все,нельзя ничего в паблик класть нельзя)
Мда, всё работает. Руки из жопы у кого-то.
Так кто понял что именно пофиксили? и как это обойти
...
пиздуй отседова нуб
тебе там в школе говорят?
вроде пофиксили? кто бнет пытался? вчера было все ок,сегодня после 12 МСК отказывает и все...
Говорят можно за интернет на билайне подобным способом оплатить, там агрегатор другой, но тоже можно подделать
Да, можно, тока через 3 дня поедешь в нетронутые цивилизацией места нашей Родины...))))