作者sarafciel (Cattuz)
看板DMM_GAMES
標題Re: [情報] [千年]千年戰爭炎上,無課全黑
時間Mon Aug 10 17:24:00 2015
※ 引述《ren740719 (雪月燦)》之銘言:
: 嗯,2ch炎上中
: 大意:
: 有個自稱外國人的發表了一個千年戰爭的安全漏洞討論串,
: 使用者可以隨意修改遊戲內的數值
: 有人開人柱帳號測試,發現確實可行 > 討論串炎上
: 官方對應發言:
: http://i.imgur.com/H8S0lEa.png
: 修改圖
: http://i.imgur.com/sxjbln4.gif
: http://i.imgur.com/SWH4PUn.jpg
: http://i.imgur.com/4JkJIxN.jpg
: http://i.imgur.com/SwpnzRj.jpg
: 元串
: http://goo.gl/usrPy5
稍微翻了一下他的手法
為防有心人士利用我不講細節
簡單的說千年的關卡中放在client端的資料結構太詳細了
包括經驗、掉落數量等等
甚至還有掉落物的角色ID都放在client端,所以只要把ID改一改就可以調出掉落黑角
這個東西的解決方法不難,把關卡掉落部分的資料結構通通刪掉
留一組flag在client紀錄掉落資訊,配合關卡ID送回去跟server要掉落再傳回來就好
然後在進關卡時把關卡ID在Server留一份,防止在關卡途中把關卡ID修掉的情況
當然還有改封包一類的高級技巧,不過有在一些特別的點把檢查做好
還有像gn大提的那招把封包內容跟結構三不五時給他修一下
誰沒穿褲子很快就找出來了
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.165.7.128
※ 文章網址: https://webptt.com/m.aspx?n=bbs/DMM_GAMES/M.1439198643.A.28C.html
1F:→ scarbywind: 這就是..看要丟多少資源再sever的問題 08/10 17:27
2F:推 caten: 千年在dmm算蠻老的遊戲,也不知道伺服器有沒有增設更新 08/10 17:28
3F:→ caten: 就看營運要不要砸點錢就是( 08/10 17:29
4F:推 ren740719: 會用的早就用爽爽了,只是今天才爆出來而已 08/10 17:29
他這個修改手法其實很老哏,好久以前我就拿來改單機遊戲把錢改滿了XD
........然後只覺得空虛而已(遠目
5F:→ scarbywind: sever虛擬化後,調借的難度還滿低的 08/10 17:29
不但難度變低了,還可以更有效的擋DDOS
好server!!!不借嗎
6F:推 caten: 希望如此,艦收不知道爆炸幾遍了 08/10 17:31
kancolle那個吞吐量跟千年不是一個等級啊XD
※ 編輯: sarafciel (1.165.7.128), 08/10/2015 17:37:04
7F:推 ClubT: 但要改就必須強化SERVER 不過課金的人不少想應該是OK吧XD 08/10 17:31
8F:→ ClubT: 話說那個N隻傳說的該不會也是這樣...? 08/10 17:32
9F:→ caten: 最近艦收一直說強化伺服器,今天活動更新結束就知道褲子在 08/10 17:32
10F:→ caten: 不在了 08/10 17:32
11F:→ scarbywind: 分個1g ram 08/10 17:32
12F:→ vencil: 預先設定好掉落內容(含數量)就OK,不正確的回覆就drop 08/10 17:34
13F:→ scarbywind: 會丟這麼詳細就是要client算吧.. 08/10 17:35
14F:→ vencil: 這樣看起來細節不難,只是就看營運要花多少錢跟時間來做了 08/10 17:35
15F:→ vencil: 其實這樣要Server自己算並不過分,一定是早期偷雞還沒改 08/10 17:36
16F:→ scarbywind: 這個嗎 我只能說他是來賺錢的不是國家義務提供的.. 08/10 17:36
這個洞目前來看鑽起來很容易,影響營收也很大(抽抽角都不用抽了)
對營運來講是個很好的擴伺服器理由啊XD
17F:推 caten: 早期營運伺服能用多便宜就多便宜,當然不會讓自己負擔太多 08/10 17:38
18F:→ caten: 壓力 08/10 17:38
19F:→ scarbywind: client多算一次server就可以少算近萬次,至於怎麼分就 08/10 17:38
※ 編輯: sarafciel (1.165.7.128), 08/10/2015 17:44:56
20F:→ vencil: 跟國家義務有什麼關係? 他不管 -> 外掛流竄 -> Quit潮 08/10 17:41
21F:→ vencil: 看他覺得這樣能不能賺錢 08/10 17:41
22F:→ vencil: 或者是一堆人就不課,直接改黑角,這樣他也收不到錢啊 08/10 17:42
23F:→ scarbywind: 所以說要怎麼分配就是商人自己麼著(?)決定 08/10 17:42
24F:→ vencil: 如果官方評估加強架構或Server能力比流失的錢貴,不改合理 08/10 17:43
25F:→ vencil: 我是覺得講到國家義務很奇怪,營運能賺錢才會改算一般常識 08/10 17:44
26F:→ scarbywind: 我只說,他不會想也沒被強迫一定要做到最好 08/10 17:44
27F:推 scarbywind: 不然client只留指令輸入,剩下全部server算也可以 成本 08/10 17:46
28F:→ scarbywind: 就.. 08/10 17:46
29F:推 tabriskang: 他提國家大概是想說私人就是賺錢為宗旨 08/10 17:47
30F:→ scarbywind: 當然玩家可以集體靠杯罷課之類.. 反正都是一環(看戲調 08/10 17:48
31F:→ tabriskang: 能省當省 洞洞被人破處 然後再被狂輪X的話 08/10 17:48
32F:→ tabriskang: 私人公司才會想怎麼補洞... 08/10 17:49
33F:→ scarbywind: 原來我說的話還需要轉譯嗎(汗 感謝樓上 08/10 17:50
34F:推 caten: 反正真的會開始流失營運自然會去做,但是一點徵兆都沒有你 08/10 17:50
35F:→ caten: 要他負擔成本不太可能 08/10 17:50
36F:推 tabriskang: 對啊 通常破破被破處不會怎麼樣 可是狂輪X 08/10 17:51
37F:→ tabriskang: 玩到遊戲整個都變成肉便器+阿黑顏 遊戲公司 08/10 17:52
38F:→ tabriskang: 遊戲公司才會出來補破洞+制止 08/10 17:53
39F:→ vencil: 通常等到那遊戲外掛滿地的時候,生態已經完全不一樣了 08/10 17:55
40F:推 caten: 隔壁有人第一年檢舉特定玩家使用巨集,結果完全沒事,拖到 08/10 17:56
41F:→ caten: 遊戲進入第二年半才開始處理巨集玩家 08/10 17:56
42F:→ scarbywind: 台灣大致上是這樣,別國就不知道了 08/10 17:56
43F:→ caten: 說穿了即時性問題不是玩家覺得,是營運覺得 08/10 17:57
44F:→ windnduck: 簡單講,我個人是不太擔心這樣的問題。有太多檢核點 08/10 17:57
45F:→ windnduck: 目前可以確定的有:角色掉落時間+石頭購買+角色出處 08/10 17:58
46F:→ scarbywind: 其實無市面流通的話問題確實就這樣 08/10 17:59
47F:→ scarbywind: 唯一會受害的大概就是換(?)號的 08/10 18:00
48F:推 caten: 玩家覺得幹你巨集託管無限資源不處理我們這些手動是白癡 08/10 18:01
49F:→ scarbywind: 有再砍號的話其實就...稍微可以平息 拔(? 08/10 18:01
50F:→ caten: 結果營運第一年裝死,第二年半大家都習慣也懶得管時,營運 08/10 18:02
51F:→ caten: 突然才開始在程式動手腳 08/10 18:02
52F:→ caten: 這都沒人想得到的 08/10 18:02
53F:→ scarbywind: 高層表示:給我加班 工程師:幹 齁哩系 08/10 18:03
54F:→ scarbywind: 換個人多個毛是摸積龍的事 08/10 18:03
55F:→ windnduck: 總之,這遊戲資料結構雖然挺好猜的,但也沒那麼好遁形 08/10 18:04
56F:→ windnduck: 從掉落著手其實是最容易被知道的事情,就看營運的態度 08/10 18:04
57F:→ windnduck: 如果今天能夠處理石抽、G抽、SP抽,那就真的緊張囉 08/10 18:05
58F:→ scarbywind: 女神:這石.....有毒(葛 08/10 18:08
59F:→ scarbywind: 其實可以直接掉角也不需要抽了吧(汗 08/10 18:08
60F:→ scarbywind: 方法都爆了不可能不處理.方式就 慢慢看 08/10 18:09
61F:推 caten: 改黑角出來賣也沒g的問題 08/10 18:10
62F:→ scarbywind: 直接改金桶效率比較好吧XD 08/10 18:12
63F:推 tabriskang: 說到這個 我想到我有4年以上沒開SETI了... 08/10 18:21
64F:→ tabriskang: 以前開了10年左右覺得超有趣XDDD 08/10 18:22
65F:→ tabriskang: 不過算癌症那個我就沒開那麼久了... 08/10 18:22
66F:→ scarbywind: 跳得有點遠.. 08/10 18:25
67F:推 tabriskang: 講到分散運算就會想到那東西...OTZ 08/10 18:30
68F:→ scarbywind: 是說那有新消息的話會通知你嗎? 08/10 18:32
69F:→ scarbywind: 例如:振奮!疑似發現(ry 之類的 08/10 18:33
70F:推 tabriskang: 我是沒收到啦 08/10 18:34
71F:推 Fate1095: 艦收是讓那些外掛玩家養女兒養出感情以後在一口氣ban掉 08/10 18:51
72F:→ Fate1095: 如果對方剛玩就ban好像不痛不癢,等妳活動艦都收得差不多 08/10 18:51
73F:→ Fate1095: 在一口氣收你頭,這種才夠狠 08/10 18:52
74F:推 Narancia: 狠也沒用啊 精神勝利法而已 除非營運每個都是愛好愉悅的 08/10 19:14
75F:→ Narancia: 麻婆神父 不然誰閒到放著不正玩家等他們養大了才砍 08/10 19:14
76F:→ Narancia: 營運想靠人頭數字衝玩家總數來報業績的話那就另當別論 08/10 19:15
無南超教主安安~
77F:→ leftside: 作弊被收掉應該的,沒什麼狠不狠 08/10 19:15
78F:→ Narancia: 而且放著不管等到洞太大補不了 其他玩家跑光才哭笑不得 08/10 19:16
※ 編輯: sarafciel (1.165.7.128), 08/10/2015 19:34:02
79F:推 killme323: 頂多根鐵壁一樣 08/10 19:32
80F:推 windwater77: 想不到會在這板看 08/10 19:41
81F:→ windwater77: 到腰子 08/10 19:41
82F:推 caten: 腰子很早就有出現啦 08/10 19:43
83F:推 qoodboy26: 這我有在k島看到,島民說很久了,早改了就沒去管,居然 08/14 15:40
84F:→ qoodboy26: 沒改… 08/14 15:40