用户登录  | 
首 页技术文章软件发布广告价格
当前位置:传奇游戏服务端下载站传奇站长论坛资源网站程序技术文章文章资讯游戏架设教程奇迹技术

精彩奇迹防漏洞大公开-经历纪实

减小字体 增大字体 作者:佚名  来源:本站整理  发布时间:2014-10-03 23:15:17


当初精彩开的时候还是74版,后来经历了94版,96版,直到今天的假98版.

各类漏洞,本身漏洞层出不穷,

精彩历经了几乎所有的漏洞,是时候给大家提个醒,防一防了.

漏洞主要分为两大类,

一是问题,一是本身漏洞问题.

问题主要来源于,架Sf者本身能力不高,水平有限

dedecms.com

主的要问题有

1.ASP注入漏洞,

此漏洞的原理是利用SF的系统和SQL数据库之间有数据交换的情况,通过修改网页,输入加工过的长句子,内容为ASP调用SQL给某一指定角色造装备,改成GM角色,甚至删除整个数据库.

精彩防的方法就是加过滤,改关键网页为SQL存储进程,加入外部连接进入检测.

精彩在3月份被注入漏洞害苦了,气走了大批玩家, 老玩家应该记的很清楚,当时全属性卓越到处都是,一个叫好小子的GM角色,在里叫嚣要清数据库, 后来虽然漏洞堵住了,非法装备也清了,可是精彩的GM却被大家戴上了刷装备的高帽子.再也洗不清了.

2.SQL连接漏洞.

准确来讲这个不算是漏洞,是一个预防问题,就是Sf的SQL数据库可以用公网地址访问到,也就是说对方只要知道你的SQL用户名和密码就能上到你的SQL上去进行任意操作.用户名和密码可以通过 ASP小偷从网页盗取,更可笑的是一些做SF的,根本不去改下载下来的服务端相关密码,这样反而成了公用帐号和密码了. 还有一些人,连上你的SQL后,使用默认用户SA来暴力猜密码.

解决方法就是把SQL数据库内置,让公网根本访问不到.

精彩上这方面只存在过暴力猜解密码,而且对方也没成功,现在精彩的SQL已经内置,即使对方知道用户名和密码,也连不上数据库,等于没用.

dedecms.com

3.操作系统漏洞

经常在网吧主机上看到没有装杀毒软件,没有打过升级补丁,没有加载,感觉就是可笑,这样的情况也敢用来做主机?太大胆了吧,不过也正是因为如此,才给那些毛都没长全,看过几本书就自称的家伙以可乖之机.

解决方法我就不多说了.其实上面已经说出了方向了.

精彩在这方面没有问题. dedecms.com

4.多机负载,偷梁换柱漏洞.

这是个最有意思的漏洞,官方不会出现这个问题.也是和关键程序后置有关的.因为现在的网络在设计时都没有想过用一台电脑全部运行起来.所以会分成几个不同分工的程序在多台电脑上运行.里面最关键的是 DS数据库操作程序,GS数据处理程序.这两个程序,在设计时是在内网连接的,也就是说这两个程序间的通信是没有加密的.只要利用这一点,让本地的GS连上SF上的DS就成了.GS程序里可以修改商店所卖物品,人物升级加的点数,卓越爆率.经验倍数等等等

解决方法,DS程序后置或加,对外封闭DS端口.

精彩一直的做法就是用,后来SQL后置时,把DS也后置了.现在了,五一期间因我的疏忽,DS端口打开了三天,后来在上看到有玩家连接了DS端口, 特征玩家就是一剑飘零.这也是最近+11追16装备偏多的一个主要原因.

本身的漏洞主要的是

复制漏洞.

这个可以说是一个致命的漏洞.利用仓库,NPC,交易可以把物品大量复制.网上此类方法的详细介绍有很多,我就不多说了. dedecms.com

解决方法,关交易,或关仓库,还有一个方法,就是限制交易,开物品检测

精彩这段时间被复制害苦了,前天清装备,光+7双属性卓越冰戒就清出200多个.我们现在用的方法是限制交易,只能在海里交易. 其它地方都不能交易.

致命的漏洞就这么多了.其它的都是小问题.欢迎大家探讨,也欢迎大家到精彩里测试漏洞.

 

 

Tags:

作者:佚名

文章评论评论内容只代表网友观点,与本站立场无关!

   评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
传奇资源网提供最新传奇开区一条龙版本下载,本站声明:只更新最新最好的传奇服务端分享给大家。