※ 引述《qazieru (=w=)》之銘言:
: 不過這種"讓符合條件的玩家手中的金錢強制地流出"這種強大且惡意滿點的攻擊
: 我在美日英三國 這還是第一次看到。該說是駭客們太強了,還是SEX社的安全漏洞太大了?
: 另外到目前為止這個處理態度是可以讓人感受到運營的誠意的
: 台灣廠商的話大概二話不說回溯下去,一切推給犯人,現在已經修完開放營運了XD
基本上應該跟之前被人挖出來的工作階段 ID 問題相同,
也就是直接改封包,抽換掉你的玩家 ID,送出下標的封包,
伺服器沒做驗證就以為是受害玩家真的在下標,於是照正常程序處理。
目前 FFXIV 就這三大漏洞
#1 被人挖出來修改封包訊息就能直接強制改動自己角色資料
可以瞬間獲得金錢上限的ギル,可以瞬間全職 50 級
只要送出正確的資料庫更新指令,後端資料庫就呆呆地去更新而無驗證
#2 被人發現玩家登入大廳後,不管留在線上幾天,使用的工作階段 ID 都不變
而且這個工作階段 ID 是不加密直接以純文字在網路上傳輸
只要不結束遊戲,伺服器端也不會再驗證持有這個 ID 的人是否同一個人
#3 這次的競標攻擊
個人猜測這次的攻擊應該也是同前兩次,單純是 FFXIV 工作階段 ID 的問題。
不過我不是網路工程師…所以單純是亂猜 XD
--
Sent from my HR-93.
--
: 不過這種"讓符合條件的玩家手中的金錢強制地流出"這種強大且惡意滿點的攻擊
: 我在美日英三國 這還是第一次看到。該說是駭客們太強了,還是SEX社的安全漏洞太大了?
: 另外到目前為止這個處理態度是可以讓人感受到運營的誠意的
: 台灣廠商的話大概二話不說回溯下去,一切推給犯人,現在已經修完開放營運了XD
基本上應該跟之前被人挖出來的工作階段 ID 問題相同,
也就是直接改封包,抽換掉你的玩家 ID,送出下標的封包,
伺服器沒做驗證就以為是受害玩家真的在下標,於是照正常程序處理。
目前 FFXIV 就這三大漏洞
#1 被人挖出來修改封包訊息就能直接強制改動自己角色資料
可以瞬間獲得金錢上限的ギル,可以瞬間全職 50 級
只要送出正確的資料庫更新指令,後端資料庫就呆呆地去更新而無驗證
#2 被人發現玩家登入大廳後,不管留在線上幾天,使用的工作階段 ID 都不變
而且這個工作階段 ID 是不加密直接以純文字在網路上傳輸
只要不結束遊戲,伺服器端也不會再驗證持有這個 ID 的人是否同一個人
#3 這次的競標攻擊
個人猜測這次的攻擊應該也是同前兩次,單純是 FFXIV 工作階段 ID 的問題。
不過我不是網路工程師…所以單純是亂猜 XD
--
Sent from my HR-93.
--
All Comments