2013/11/29 更新： 测试结果出来了，抱歉可能害大家虚惊一场 重新测试的结果是： 浏览器关闭一个小时就会自动登出！！ 中枪的应该只剩下楼主： 每次回家都先开一下玛奇，想说晚上可能还会再打些任务 所以Beanfun网页就没关掉留着，留着晚上可以少打一次密码 果然，偷懒是最大的敌人（检讨中） 在这边跟大家抱歉，因为在下不够谨慎可能造成了大家慌张 前情提要： 原PO很久没开玛奇，FB上看到活动送黑火马与100AP药水才忽然想回锅 虽然看到活动时已经赶不上黑火马，而且一想到20岁的初音就... 不过100AP药水对我还是很有吸引力 同时也上PTT逛逛 没想到一上来就看到被盗 当下直觉就是：来分析Beanfun安全状况的并写文章让大家知道哪里要小心吧 还没开始写文，先用自己电脑测试一下：这机制够不够安全 （结果测试不够谨慎） 於是意外就这样发生了...... 不够谨慎的测试还成了更大的意外 (多希望不会看到意外让我可以写原来的分析文) 重点： 目前如果要小心「玛奇帐号」被盗用，请做好以下几个安全措施： 更新：问题没想像严重，要不要照做请参考下面原理自行评估 1. 登入玛奇後，尽快将Beanfun网页登出，或者至少关电脑前网页要登出 不要用清除Cookie的方式登出，直接关网页後你得重新登入也不算登出 请直接点Beanfun网页右下角的登出可以确保帐号安全 2. 随时检查浏览器扩充套件，有没有被安装奇怪的东西 当然不要被装扩充套件最好，不过很多软体都可以不询问你直接帮你装 尤其是现在很少防毒软体会确保浏览器是安全的 如果以上两点不确实，尤其是第一点没做好的话 就算用PlaySafe或OTP保护，玛奇帐号还是会被盗用 更新：只影响一小时 漏洞已经电话回报游戏橘子，似乎也有其他人回报，但什麽时候修正也不确定 修正之前做好以上两点至少可以少一点被盗的机会 版主都说可以了，那就把原理写上吧： 　Beanfun以前的登入流程如下图： 　 启动游戏→输入帐号密码→登入游戏 　而新Beanfun的登入流程如下（旧Beanfun的流程也差不多） 　 开启Beanfun网页→网页登入→点选启动游戏→产生「Session参数」→ 传「参数」给BFWebStart→BFWebStart跟橘子伺服器要求产生OTP→ 带着「包含OTP的参数」启动游戏→自动登入游戏(因为帐号密码已写在参数) PS. OTP = On Time Password = 具有时效性的密码 像是信用卡刷卡要用手机接收一个五分钟内输入的认证码，那也是OTP PS2. 如果你把工作管理员的命令列打开，就可以看到该应用程式启动时的参数 前几篇有人提到踢人的方式，也是类似的方式找出OTP 基本上只要程式还在执行，你执行时的参数都可以查(不过依然安全原因如下) Beanfun刚出来的时候我就在踹(Try)说如果把OTP抄下来，能不能用 答案是：可以用，但是只有五分钟的时效，不构成危胁(随时可查到可是查到也过期了) 因为以前一直只有踹这块，所以一直觉得Beanfun还蛮安全的(惭愧) 这次看到被盗才想到：如果给BFWebStart的「Session参数」被抄下来呢 话不多说开始动手踹，不过因为BFWebStart只会执行20秒 　 　(程式结束就查不到参数，而且玛奇主程式出现开始游戏时，他就任务完成结束了) 手脚再快也抄不下来，所以写了个小工具把流程从原本的： 　　网页→BFWebStart 　改成这样： 　　网页→拦截→BFWebStart 　第一次当然很正常的启动游戏登入游戏(只是多个步骤拦截参数嘛) 　 　如果这串参数跟後面的OTP一样5分钟就过期，那倒也还好 　 　毕竟你登入5分钟内被踢出，一定会怀疑有问题马上重新登入 　 　（BF後直接登入玛奇虽然会写「请升级帐号」，不过其实会自动帮你按是踢人） 　 　关闭游戏休息个五分钟後，把刚刚拦截下来的参数拿出来，再次启动BFWebStart 　 　等等，五分钟後还是可以启动？！　我以为这参数只能用一次或5分钟後就会失效啊 　 　很不幸的，睡觉前共放了两个小时以上 确定是因为没关网页才会放两个小时还有效 　 　这串参数还是可以让我直接自动登入玛奇（也就是前面讲的意外） 　 　没错，如果你启动游戏时，给BFWebStart的参数有抄下来 　 　根本不需要Beanfun网页就可以直接登入游戏 　 　也是PlaySafe没用的原因（网页都不需要开了，哪需要晶片卡） 　 　後来测试一下，要怎麽让「给BFWebStart的参数」，确定以下行为会让参数报废 　　1.登出Beanfun网页 　　2.不登出关网页，直到网页显示要登入後，重新登入网页Beanfun 3.单纯的关闭网页，一个小时後参数会失效（先前不会过期确定是笔误） 　而以下行为不会让参数失效： 　　1.改密码（对，进信箱改密後没重新登入参数依然有效） 　　2.直接把网页关掉然後去睡觉（确定是笔误，等一个小时就会失效了） 　　3.之前Beanfun网站宣导的「关掉游戏」 　 　很不幸的是，这串参数还可以从「浏览器」取得 　虽然传说过程有加密不至於被拦截，不过到你的浏览器上也解密了 　（不然你看不到网页） 　 　如果直接插入一些脚本，让浏览器把这串参数传到别的地方.... 　外加浏览器传输资料也很正常，防火墙根本不会发现异常 　 　以上，希望大家都能保护好自己的玛奇帐号 　 修正後的结论：我要修正我网页开着不关的坏习惯了... --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 118.170.153.115 ※ 编辑: j28347846 来自: 118.170.153.115 (11/27 02:27) 原理讲出来我怕盗帐号的也来取经，而且不晓得版主觉得可不可以讲 如果可以直接讲我在发篇文讲原理吧 两个应该都一样适用 基本上我找到的不良设计可以直接绕过任何Beanfun帐号验证程序启动游戏 PS卡以前用过不过没仔细研究(剪卡剪坏就没再用了) ※ 编辑: j28347846 来自: 27.243.6.174 (11/27 12:14) ※ 编辑: j28347846 来自: 163.17.133.16 (11/27 16:00) 连我自己都快被眼前的现象吓死啊！！ 是的，尽快登出Beanfun才会安全 尤其很不少人（包括我）常常玩玩直接关掉脑睡觉，根本没去Beanfun网页做登出 要置底没问题，其实本来有想说要录demo不过太麻烦後来作罢 ※ 编辑: j28347846 来自: 163.17.133.16 (11/27 16:09) 路由攻下其实不一定拦截的到耶 因为我没去测试BFWebStart去跟橘子伺服器要求OTP的过程安不安全XD 不过倒是有听闻过台湾的ISP安全性不是很够 不Po到帐号的人还是会知道这些东西 Po出来起码玩家可以保护自己，版主也说OK就PO啦 请随意转，帮我涂掉ID我会感激你 有点类似被远端操作没错，不过因为这串参数真的太好拿 浏览器被安装奇怪扩充套件不难，而且装扩充套件还可以拿浏览器当白手套 让防毒软体发现不了，以前木马拦截帐号密码，防毒软体还会发现有人侧录键盘 当然恐慌事没必要的，不过是真的诚心建议没事登出...... 看看DEMO影片你应该可以了解为什麽：http://goo.gl/K8McEi ※ 编辑: j28347846 来自: 118.170.122.130 (11/27 18:10) ※ 编辑: j28347846 来自: 118.170.122.130 (11/27 18:23) 是，只要按下登出，BFWebStart就会跳出 「无法取得游戏密码，请重新尝试: beanfun! 闲置过久，请尝试重新登入」 因为很难录下拦截参数，又不透漏我的beanfun帐号，所以只能示范这个部分 ※ 编辑: j28347846 来自: 118.170.122.130 (11/27 18:26) 不一定每个人都做得到啊 原Po是比较悲剧，自认为做得到结果还是常常被装(死) 自从发现自己做不到，就养成至少一个月检查一次扩充套件清单的习惯了 顺带一提失效条件3改成2小时了，比之前安全多了 ※ 编辑: j28347846 来自: 118.170.122.130 (11/27 18:28) 收到！！ 然後我发现我当初做测试时，好像没有漏了一个因素：网页是否关闭 然後把未关闭网页2小时的结果，与关掉网页5分钟的结果，混在一起了 在这边先向大家道歉，等数个小时测试出比较确定肯定的我再更新上面 虽然也有可能是橘子更新伺服器那边的程式，不过现在状况如何还得再等数个小时就是 正在拿自己的帐号，测试网页有没有关掉，否会影响参数过期的条件 ※ 编辑: j28347846 来自: 118.170.122.130 (11/27 20:13) PS卡还是很有用的，至少可以避免帐号密码被抄走 假设PS卡安全的话（先前确实有爆出智慧卡漏洞，不晓得PS哪几批是有遭殃的） 没关系我发现我也犯了很大的错误...... 基本原理还是适用，只是危险性降低非常多。要不要按照步骤小心请大家在重新评估吧 ※ 编辑: j28347846 来自: 118.170.122.130 (11/29 19:43)