精彩奇迹防漏洞大公开-经历纪实
奇迹Sf在去年11开始出现在网络上,并迅速流传开来.

当初精彩奇迹开的时候还是74版,后来经历了94版,96版,直到今天的假98版.

各类安全漏洞,游戏本身漏洞层出不穷,

精彩历经了几乎所有的漏洞,是时候给大家提个醒,防一防了.

漏洞主要分为两大类,

一是安全问题,一是游戏本身漏洞问题.

安全问题主要来源于,架Sf者本身能力不高,水平有限

主的要问题有

1.ASP注入漏洞,

此漏洞的原理是利用SF的网站系统和SQL数据库之间有数据交换的情况,通过修改网页,输入加工过的长句子,内容为ASP调用SQL给某一指定角色造装备,改成GM角色,甚至删除整个数据库.

精彩防的方法就是加过滤,改关键网页为SQL存储进程,加入外部连接进入检测.

精彩在3月份被注入漏洞害苦了,气走了大批玩家, 老玩家应该记的很清楚,当时全属性卓越到处都是,一个叫好小子的GM角色,在游戏里叫嚣要清数据库, 后来虽然漏洞堵住了,非法装备也清了,可是精彩的GM却被大家戴上了刷装备的高帽子.再也洗不清了.

2.SQL连接漏洞.

准确来讲这个不算是漏洞,是一个安全预防问题,就是Sf的SQL数据库可以用公网地址访问到,也就是说对方只要知道你的SQL用户名和密码就能上到你的SQL服务器上去进行任意操作.用户名和密码可以通过 ASP小偷从网页盗取,更可笑的是一些做SF的,根本不去改下载下来的服务端相关密码,这样反而成了公用帐号和密码了. 还有一些人,连上你的SQL后,使用默认用户SA来暴力猜密码.

解决方法就是把SQL数据库内置,让公网根本访问不到.

精彩上这方面只存在过暴力猜解密码,而且对方也没成功,现在精彩的SQL已经内置,即使对方知道用户名和密码,也连不上数据库,等于没用.

3.操作系统漏洞

经常在网吧主机上看到没有装杀毒软件,没有打过升级补丁,没有加载防火墙,感觉就是可笑,这样的情况也敢用来做主机?太大胆了吧,不过也正是因为如此,才给那些毛都没长全,看过几本书就自称黑客的家伙以可乖之机.

解决方法我就不多说了.其实上面已经说出了方向了.

精彩在这方面没有问题.

4.多机负载,偷梁换柱漏洞.

这是个最有意思的漏洞,官方不会出现这个问题.也是和关键程序后置有关的.因为现在的网络游戏在设计时都没有想过用一台电脑全部运行起来.所以会分成几个不同分工的程序在多台电脑上运行.奇迹里面最关键的是 DS数据库操作程序,GS游戏数据处理程序.这两个程序,在设计时是在内网连接的,也就是说这两个程序间的通信是没有加密的.只要利用这一点,让本地的GS连上SF上的DS就成了.GS程序里可以修改商店所卖物品,人物升级加的点数,卓越爆率.经验倍数等等等

解决方法,DS程序后置或加防火墙,对外封闭DS端口.

精彩一直的做法就是用防火墙,后来SQL后置时,把DS也后置了.现在安全了,五一期间因我的疏忽,DS端口打开了三天,后来在服务器上看到有玩家连接了DS端口, 特征玩家就是一剑飘零.这也是最近+11追16装备偏多的一个主要原因.

游戏本身的漏洞主要的是

复制漏洞.

这个可以说是一个致命的漏洞.利用仓库,NPC,交易可以把物品大量复制.网上此类方法的详细介绍有很多,我就不多说了.

解决方法,关交易,或关仓库,还有一个方法,就是限制交易,开物品检测

精彩这段时间被复制害苦了,前天清装备,光+7双属性卓越冰戒就清出200多个.我们现在用的方法是限制交易,只能在海里交易. 其它地方都不能交易.

致命的漏洞就这么多了.其它的都是小问题.欢迎大家探讨,也欢迎大家到精彩奇迹里测试漏洞.


 

 

 

 

 


奇迹私服