Довольно большое время, еще с 2015 года мне была известна некая уязвимость, которую можно интересно использовать. Но я думал, что она быстро станет популярной и её пофиксят, но вышло совсем не так. Вся уязвимость связана с вещами Dota 2, а точнее с их подписями. Как вы знаете, когда вы дарите вещь в Dota 2 вы можете подписать её. И все дело в том, что если у человека, который откроет ваш инвентарь Steam установлено расширение Steam Inventory Helper, то html код в подписи начнет воспроизводится.

На первой картинке расширения нет, на второй оно установлено:


Единственное, чего мне удалось выбить с этой уязвимости это воспроизведение музыки и звуков, другие скрипты не сработали. (скорее всего это из-за политики к расширениям, которая не дает использовать множетсво других функкций)

Итак, как же воспроизвести все это самому:
1) Заливаем файл с музыкой на любой хостинг. (но имейте ввиду, что бы директория была покороче, потому что подпись имеет ограничение)
2) Далее вставляем свою ссылку в нужное место в данном коде:
<audio src="Ваша ссылка до файла на сервере" autoplay="autoplay"></audio>

3) Отправляем кому-то любую вещь с помощью функции "Завернуть в подарок".
Уязвимость в расширении Steam Inventory Helper и как ею пользоваться

4) Вот и все, теперь кто-то явно удивится громкому звуку из неоткуда!