2013/12/21

ToS那些大小事

一開始是受到了這篇文章 (http://tech.shaolin.tw/posts/2013/11/05/towerofsaviors-automatically-battle-without-phone)的啟發
兩個網友(估且稱之A、B)同時都成功的弄出了脫機
後來意外發現了更多帳號的秘密
開新帳號的限制、脫機洗首抽...兩個人洗了6千多個帳號
後來A的帳號被賣卡,B對神魔本身好像也不是很有興趣 XD
有鑑於官方團隊處理外掛的態度真的太消極
還有A被賣卡
所以出來爆料一下

前幾天再apk.tw貼的文(http://apk.tw/thread-448810-1-1.html
但是好像沒有人裡我 TAT
所以在Blog再發一次

  • ToS是用C#配Unity Engine寫的,代表你可以輕易的看到她的Source和任意修改
  • 隨機數有兩個,一個是整數,一個是float
  • 隨機數的範圍是9~500
  • 只要知道你綁定的Facebook帳號,我可以幫你抽卡、打關卡,或者把六星卡餵給史萊姆,或者鎖你一輩子
  • 開新帳號的限制在Device ID,IP目前應該是沒限制,因為NAT架構,網路出去的都是同一個IP,要是限制IP會惹民怨
  • ToS的封包沒加密,走普通http連線,這意味著用公共WiFi玩ToS可能會被盜
  • 進入戰鬥後,可以用鈦備份把遊戲備份起來,萬一被打死了,不要按確定,直接用鈦備份還原就可以再打一次
  • 妲己真的很難抽,朋友A、B兩個人抽了六千多個帳號,加起來不超過5隻
  • 朋友A被人賣卡了,所以發這篇文,懂技術的人自己要有分寸,下次會有更多的爆料
這是被攻擊、回血時的處理:http://pastebin.com/YgkdqmAg

這種遊戲,這種態度,不玩也罷!

2013/12/01

如何寫出安全的PHP網站

網站安全那些大小事

如果你正在學習使用PHP(其實任何語言都通用)開發網站...
請務必要注意到安全性的問題
特別是有開放留言、註冊功能之類的網站!

有留言板,就有人想 <script> ...
有登入系統,就有人想 'or''=' ...

可以寫<script>的留言板,黑客就可以偷走你的cookie
甚至偷走你的密碼,進入後台搞破壞
萬一你的密碼是萬用密碼,拿到之後每個網站都可以登入
那你就損失慘重了!

至於可以寫單引號的系統呢?
如果你寫了...

$query = mysql_query("DELETE FROM `messages` WHERE " .
                     "`mid` = '{$_POST['id']}' AND " .
                     "`del_code` = '{$_POST['code']}'");

像這樣具有刪除留言功能的留言板
那麼我只要搞破壞,在code欄位輸入了 ' or '' = ' ...
整個 SQL 命令就會變成

DELETE FROM `messages` WHERE `mid` = '' AND `del_code` = '' or '' = ''

看清楚了嗎?

or '' = ''

然後你整張資料表的內容就...
萬一這是使用者刪除帳號的功能呢?

只要把握一個原則,就可以寫出很安全的網頁