精彩奇迹防漏洞大公开----经历纪实
减小字体
增大字体Sf在去年11开始出现在网络上,并迅速流传开来.
当初精彩开的时候还是74版,后来经历了94版,96版,直到今天的假98版.
各类漏洞,本身漏洞层出不穷,
精彩历经了几乎所有的漏洞,是时候给大家提个醒,防一防了.
漏洞主要分为两大类,
一是问题,一是本身漏洞问题.
问题主要来源于,架Sf者本身能力不高,水平有限
主的要问题有
1.ASP注入漏洞,
此漏洞的原理是利用SF的系统和SQL数据库之间有数据交换的情况,通过修改网页,输入加工过的长句子,内容为ASP调用SQL给某一指定角色造装备,改成GM角色,甚至删除整个数据库.
精彩防的方法就是加过滤,改关键网页为SQL存储进程,加入外部连接进入检测.
精彩在3月份被注入漏洞害苦了,气走了大批玩家, 老玩家应该记的很清楚,当时全属性卓越到处都是,一个叫好小子的GM角色,在里叫嚣要清数据库, 后来虽然漏洞堵住了,非法装备也清了,可是精彩的GM却被大家戴上了刷装备的高帽子.再也洗不清了.
2.SQL连接漏洞.
准确来讲这个不算是漏洞,是一个预防问题,就是Sf的SQL数据库可以用公网地址访问到,也就是说对方只要知道你的SQL用户名和密码就能上到你的SQL上去进行任意操作.用户名和密码可以通过 ASP小偷从网页盗取,更可笑的是一些做SF的,根本不去改下载下来的服务端相关密码,这样反而成了公用帐号和密码了. 还有一些人,连上你的SQL后,使用默认用户SA来暴力猜密码.
解决方法就是把SQL数据库内置,让公网根本访问不到.
精彩上这方面只存在过暴力猜解密码,而且对方也没成功,现在精彩的SQL已经内置,即使对方知道用户名和密码,也连不上数据库,等于没用.
3.操作系统漏洞
经常在网吧主机上看到没有装杀毒软件,没有打过升级补丁,没有加载,感觉就是可笑,这样的情况也敢用来做主机?太大胆了吧,不过也正是因为如此,才给那些毛都没长全,看过几本书就自称的家伙以可乖之机.
解决方法我就不多说了.其实上面已经说出了方向了.
精彩在这方面没有问题.
4.多机负载,偷梁换柱漏洞.
这是个最有意思的漏洞,官方不会出现这个问题.也是和关键程序后置有关的.因为现在的网络在设计时都没有想过用一台电脑全部运行起来.所以会分成几个不同分工的程序在多台电脑上运行.里面最关键的是 DS数据库操作程序,GS数据处理程序.这两个程序,在设计时是在内网连接的,也就是说这两个程序间的通信是没有加密的.只要利用这一点,让本地的GS连上SF上的DS就成了.GS程序里可以修改商店所卖物品,人物升级加的点数,卓越爆率.经验倍数等等等
解决方法,DS程序后置或加,对外封闭DS端口.
精彩一直的做法就是用,后来SQL后置时,把DS也后置了.现在了,五一期间因我的疏忽,DS端口打开了三天,后来在上看到有玩家连接了DS端口, 特征玩家就是一剑飘零.这也是最近+11追16装备偏多的一个主要原因.
本身的漏洞主要的是
复制漏洞.
这个可以说是一个致命的漏洞.利用仓库,NPC,交易可以把物品大量复制.网上此类方法的详细介绍有很多,我就不多说了.
解决方法,关交易,或关仓库,还有一个方法,就是限制交易,开物品检测
精彩这段时间被复制害苦了,前天清装备,光+7双属性卓越冰戒就清出200多个.我们现在用的方法是限制交易,只能在海里交易. 其它地方都不能交易.
致命的漏洞就这么多了.其它的都是小问题.欢迎大家探讨,也欢迎大家到精彩里测试漏洞.
本篇作者 写的比较全面 代表了90% MUSFer 的心声
商业完整版游戏发布站程序免费下载:www.98youx.com
当初精彩开的时候还是74版,后来经历了94版,96版,直到今天的假98版.
各类漏洞,本身漏洞层出不穷,
精彩历经了几乎所有的漏洞,是时候给大家提个醒,防一防了.
漏洞主要分为两大类,
一是问题,一是本身漏洞问题.
问题主要来源于,架Sf者本身能力不高,水平有限
主的要问题有
1.ASP注入漏洞,
此漏洞的原理是利用SF的系统和SQL数据库之间有数据交换的情况,通过修改网页,输入加工过的长句子,内容为ASP调用SQL给某一指定角色造装备,改成GM角色,甚至删除整个数据库.
精彩防的方法就是加过滤,改关键网页为SQL存储进程,加入外部连接进入检测.
精彩在3月份被注入漏洞害苦了,气走了大批玩家, 老玩家应该记的很清楚,当时全属性卓越到处都是,一个叫好小子的GM角色,在里叫嚣要清数据库, 后来虽然漏洞堵住了,非法装备也清了,可是精彩的GM却被大家戴上了刷装备的高帽子.再也洗不清了.
2.SQL连接漏洞.
准确来讲这个不算是漏洞,是一个预防问题,就是Sf的SQL数据库可以用公网地址访问到,也就是说对方只要知道你的SQL用户名和密码就能上到你的SQL上去进行任意操作.用户名和密码可以通过 ASP小偷从网页盗取,更可笑的是一些做SF的,根本不去改下载下来的服务端相关密码,这样反而成了公用帐号和密码了. 还有一些人,连上你的SQL后,使用默认用户SA来暴力猜密码.
解决方法就是把SQL数据库内置,让公网根本访问不到.
精彩上这方面只存在过暴力猜解密码,而且对方也没成功,现在精彩的SQL已经内置,即使对方知道用户名和密码,也连不上数据库,等于没用.
3.操作系统漏洞
经常在网吧主机上看到没有装杀毒软件,没有打过升级补丁,没有加载,感觉就是可笑,这样的情况也敢用来做主机?太大胆了吧,不过也正是因为如此,才给那些毛都没长全,看过几本书就自称的家伙以可乖之机.
解决方法我就不多说了.其实上面已经说出了方向了.
精彩在这方面没有问题.
4.多机负载,偷梁换柱漏洞.
这是个最有意思的漏洞,官方不会出现这个问题.也是和关键程序后置有关的.因为现在的网络在设计时都没有想过用一台电脑全部运行起来.所以会分成几个不同分工的程序在多台电脑上运行.里面最关键的是 DS数据库操作程序,GS数据处理程序.这两个程序,在设计时是在内网连接的,也就是说这两个程序间的通信是没有加密的.只要利用这一点,让本地的GS连上SF上的DS就成了.GS程序里可以修改商店所卖物品,人物升级加的点数,卓越爆率.经验倍数等等等
解决方法,DS程序后置或加,对外封闭DS端口.
精彩一直的做法就是用,后来SQL后置时,把DS也后置了.现在了,五一期间因我的疏忽,DS端口打开了三天,后来在上看到有玩家连接了DS端口, 特征玩家就是一剑飘零.这也是最近+11追16装备偏多的一个主要原因.
本身的漏洞主要的是
复制漏洞.
这个可以说是一个致命的漏洞.利用仓库,NPC,交易可以把物品大量复制.网上此类方法的详细介绍有很多,我就不多说了.
解决方法,关交易,或关仓库,还有一个方法,就是限制交易,开物品检测
精彩这段时间被复制害苦了,前天清装备,光+7双属性卓越冰戒就清出200多个.我们现在用的方法是限制交易,只能在海里交易. 其它地方都不能交易.
致命的漏洞就这么多了.其它的都是小问题.欢迎大家探讨,也欢迎大家到精彩里测试漏洞.
本篇作者 写的比较全面 代表了90% MUSFer 的心声
商业完整版游戏发布站程序免费下载:www.98youx.com
Tags:
作者:佚名
- 好的评价 如果您觉得此文章好,就请您
0%(0) 
- 差的评价 如果您觉得此文章差,就请您
0%(0) 
中查找“精彩奇迹防漏洞大公开----经历纪实”更多相关内容
中查找“精彩奇迹防漏洞大公开----经历纪实”更多相关内容评论内容只代表网友观点,与本站立场无关!
评论摘要(共 0 条,得分 0 分,平均 0 分)
查看完整评论
