• 4 минут для чтения
  • 23 июня 2026 г. 15:37
  • количество просмотров: 246

Как KapitanLevan в CodeCombat играл

Несколько лет назад я записывал прохождение игр, обучающих программированию, на этом YouTube-канале:
Random Coder

Моей любимой игрой был CodeCombat:
https://codecombat.com

Она хороша тем, что в ней можно не просто решать задачи по программированию, а управлять героем, который выполняет разные миссии и сражается со злобными орками ⚔️

Когда я прошёл всю игру пару раз, мне стало скучно, и я решил поискать в ней баги.

Сама игра устроена так:
• open source frontend на CoffeeScript
• закрытый backend

Я нашёл несколько забавных уязвимостей (про них есть видео на YouTube-канале):

1. IDOR
Можно попасть в любой уровень, даже закрытый, если просто ввести его URL в адресной строке:
https://youtube.com

2. Можно надеть любую вещь из магазина, не покупая её
Не знаю, как правильно называется эта уязвимость (подмена css) 😄
https://youtube.com

3. Code Injection
Можно было получить секретные вещи, доступные только разработчикам:
https://youtube.com

Было полезно и забавно 🙂

Все посты и истории так же можно найти в Telegram канале Приключения в IT