xtance
Участник
- Сообщения
- 513
- Реакции
- 743
Вкратце о баге, кто не понял в конце темы ссылка на видео...
PrintHintText допускает использование HTML (некоторых тэгов), это используется для уведомлений с разным цветом
Также там, как ни странно, работает тэг <img> т.е. можно послать картинку (обсуждение уже было здесь)
Если на вашем сервере где-то отображается ник игрока в PrintHintText, он может тупо добавить этот тэг себе в ник
Пример ника: <img src="https://xpro.pw/z"/>
(нужен короткий домен чтобы влезло в ограничение стима на 32 символа)
В принципе это уже само по себе баг, ибо можно вывести много чего интересного
Идём дальше - делаем пикчу 20000х20000 пикселей, теперь кс зависает в момент вывода картинки
Если у вас где-то есть PrintHintTextToAll (уведомление для всех), с онлайном можно попрощаться (пока-пока!)
Фикс бага так же прост как и сам баг, просто очищайте текст от "<" чтобы сломать html
Поискать уязвимые плагины без смс и регистрации -> Build software better, together
Посмотреть видосик ->
Уточнения:
Забыл написать, что это работает на серверах с фиксом для покраски сообщений, но он щас есть практически везде Fix Hint Color Messages
Также сообщают, что длинный ник в стиме можно ставить через доту (со слов West99) (не тестил)
Жирная картинка удалена с моего сайта, не хотелось чтобы он ассоциировался у людей с багами и попадал в черные списки, приложил файл к сообщению (k.png)
PrintHintText допускает использование HTML (некоторых тэгов), это используется для уведомлений с разным цветом
Также там, как ни странно, работает тэг <img> т.е. можно послать картинку (обсуждение уже было здесь)
Если на вашем сервере где-то отображается ник игрока в PrintHintText, он может тупо добавить этот тэг себе в ник
Пример ника: <img src="https://xpro.pw/z"/>
В принципе это уже само по себе баг, ибо можно вывести много чего интересного
Идём дальше - делаем пикчу 20000х20000 пикселей, теперь кс зависает в момент вывода картинки
Если у вас где-то есть PrintHintTextToAll (уведомление для всех), с онлайном можно попрощаться (пока-пока!)
Фикс бага так же прост как и сам баг, просто очищайте текст от "<" чтобы сломать html
C-подобный:
ReplaceString(text, sizeof(text), "<", "");
PrintHintTextToAll(text); // вроде бы безопасноПоискать уязвимые плагины без смс и регистрации -> Build software better, together
Посмотреть видосик ->
Уточнения:
Забыл написать, что это работает на серверах с фиксом для покраски сообщений, но он щас есть практически везде Fix Hint Color Messages
Также сообщают, что длинный ник в стиме можно ставить через доту (со слов West99) (не тестил)
Жирная картинка удалена с моего сайта, не хотелось чтобы он ассоциировался у людей с багами и попадал в черные списки, приложил файл к сообщению (k.png)
Последнее редактирование:
