作者zxcvforz (塔歐茲)
看板FinalFantasy
標題Re: [FF14] 今天下午FF14部分伺服器遭受外部攻擊
時間Fri Nov 8 23:05:38 2013
※ 引述《qazieru (=w=)》之銘言:
: 不過這種"讓符合條件的玩家手中的金錢強制地流出"這種強大且惡意滿點的攻擊
: 我在美日英三國 這還是第一次看到。該說是駭客們太強了,還是SEX社的安全漏洞太大了?
: 另外到目前為止這個處理態度是可以讓人感受到運營的誠意的
: 台灣廠商的話大概二話不說回溯下去,一切推給犯人,現在已經修完開放營運了XD
基本上應該跟之前被人挖出來的工作階段 ID 問題相同,
也就是直接改封包,抽換掉你的玩家 ID,送出下標的封包,
伺服器沒做驗證就以為是受害玩家真的在下標,於是照正常程序處理。
目前 FFXIV 就這三大漏洞
#1 被人挖出來修改封包訊息就能直接強制改動自己角色資料
可以瞬間獲得金錢上限的ギル,可以瞬間全職 50 級
只要送出正確的資料庫更新指令,後端資料庫就呆呆地去更新而無驗證
#2 被人發現玩家登入大廳後,不管留在線上幾天,使用的工作階段 ID 都不變
而且這個工作階段 ID 是不加密直接以純文字在網路上傳輸
只要不結束遊戲,伺服器端也不會再驗證持有這個 ID 的人是否同一個人
#3 這次的競標攻擊
個人猜測這次的攻擊應該也是同前兩次,單純是 FFXIV 工作階段 ID 的問題。
不過我不是網路工程師…所以單純是亂猜 XD
--
Sent from my HR-93.
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 1.34.87.23
1F:推 tsairay:還蠻扯的..很基本的設計問題 11/09 01:35
2F:推 yolin5460:推,另外我有問題,那為什麼要特定地點才行? 11/09 03:23
3F:→ yolin5460:還是說是因為被害者有發送過下標的封包,才會被攔截到ID 11/09 03:24
4F:→ yolin5460:所以實際上是有碰過拍賣場的人才會發生問題? 11/09 03:25
5F:→ yolin5460:因為如果這樣的話,應該沒有必要特定鎖定距離金錢等限制 11/09 03:27
6F:→ yolin5460:直接把遊戲大廳內所有人的ID都拿來用就好,還是說遊戲內 11/09 03:28
7F:→ yolin5460:另外有做一些判定? 11/09 03:33
8F:→ qazieru:畢竟駭客的手法我們也只能猜想... 11/09 03:33
9F:推 yolin5460:的確是猜想,不過個人認為面對資安,經常要想到以往所沒 11/09 03:40
10F:→ yolin5460:注意到的部份,畢竟是真的有人想到了。另外原po提到的 11/09 03:42
11F:→ yolin5460:工作階段ID問題,的確是有跡可循。 11/09 03:43
12F:→ yolin5460:不過FFXIV這部份的漏洞再不修好,大概下次會發生更嚴重 11/09 03:45
13F:→ yolin5460:的問題,不要小看駭客們的反骨心態www 11/09 03:46
14F:推 qazieru:外卦跟盜帳問題也很煩啊...雖然這是線上遊的普遍問題 11/09 03:59
15F:→ zxcvforz:是不是特定地點其實沒有人確定,因為還在收集資料階段 11/09 14:12
16F:→ zxcvforz:官方就緊急關機了,只知道最先回報的都是在市場旁的 11/09 14:12
17F:→ zxcvforz:但這並不代表一定是要在市場旁 11/09 14:12
18F:→ zxcvforz:也很可能駭客是直接在市場放一個角色抓路過的人的ID而已 11/09 14:13