Форум администраторов игровых серверов

Форум администраторов игровых серверов (https://forum.zone-game.info/TT.php)
-   Работа со скриптами (https://forum.zone-game.info/forumdisplay.php?f=37)
-   -   Баг с атрибутом. (https://forum.zone-game.info/showthread.php?t=36269)

Литион 29.08.2014 17:49
Баг с атрибутом.
 
Подскажите как пофиксить баг с атрибутом через сервис вставки атрибут через Hxd ставят сколько угодно атрибута в шмот и оружие Сборка овер.

KilRoy 29.08.2014 18:18
Re: Баг с атрибутом.
 
Описание на 5 с +. Если сервис самописный, то явно же, рукожопие кодера не заставило себя ждать ;)
Прежде всего, нужно учитывать уязвимость байпассов и уже потом, сразу же, приходит мысль о том, что нужно не передавать параметры в строках, а использовать заготовленные варианты, либо же, ПРОВЕРЯТЬ то что происходит на клиенте и на сервере! Нельзя доверять клиенту, клиент - зло ;)

Литион 29.08.2014 18:20
Re: Баг с атрибутом.
 
Вот сам сервис
Сервис:
Свернуть ↑Развернуть ↓

KilRoy 29.08.2014 18:28
Re: Баг с атрибутом.
 
Замечательно, и тот кто писал данное чудо - всех и подставил ;) Переписываем участки кода где имеются манипуляции с получением параметров с байпасса(_ббсЕнчантГо, _ббсЕнчантЮзеАтр). Повторюсь - не нужно доверять клиенту!

Donatte 29.08.2014 19:21
Re: Баг с атрибутом.
 
В последних шарах оверов видел уже кэширование байпасов. :confused:

Archiel 08.09.2014 09:34
Re: Баг с атрибутом.
 
Цитата:
Сообщение от KilRoy (Сообщение 373252)
Описание на 5 с +. Если сервис самописный, то явно же, рукожопие кодера не заставило себя ждать ;)
Прежде всего, нужно учитывать уязвимость байпассов и уже потом, сразу же, приходит мысль о том, что нужно не передавать параметры в строках, а использовать заготовленные варианты, либо же, ПРОВЕРЯТЬ то что происходит на клиенте и на сервере! Нельзя доверять клиенту, клиент - зло ;)
В связи с этим возник вопрос, а какие есть простые и действенные способы проверки параметров в байпасе или какие есть возможности передавать заготовленные варианты? Ну вот, например, есть самописный сервис, где администратор вынужден передавать параметры ItemId и количество.

Я так понимаю, что простейший вариант проверки на стороне сервера это наличие указанного предмета в указанном количестве у игрока в инвентаре. На сколько это действенно? Может ли злоумышленник отправлять ложные данные и об этих параметрах?

Интересуюсь, потому что сам написал уже много различных байпасов, которые, в том числе, иногда сильно параметризированы.

neonv1 08.09.2014 10:01
Re: Баг с атрибутом.
 
Такое вроде происходит только в Alt+B, как проверить подручными средствами
Брать l2phx открыть alt+b проверить наличие байпасов... Если они с параметрами, то все оч плохо...

linliss 08.09.2014 21:08
Re: Баг с атрибутом.
 
Цитата:
Сообщение от neonv1 (Сообщение 374185)
Такое вроде происходит только в Alt+B, как проверить подручными средствами
Брать l2phx открыть alt+b проверить наличие байпасов... Если они с параметрами, то все оч плохо...
Что плохо? Перед показом диалога сохранить байпасы в список и если потом от клиента пришел пакет с байпасом которого нету в списке у серверва, то шлем лесом. Сложно?

Zubastic 08.09.2014 22:39
Re: Баг с атрибутом.
 
Самое тупейшее, но действенное решение: создаем в классе персонажа список. При вызове любой html (будь то alt+b или же обычная html) парсим ее (например на этапе отдачи клиенту) и делаем список валидных байпассов. В итоге даже пошариться по мультиселлам не выйдет. Сервер просто кикнет.


Текущее время: 08:24. Часовой пояс GMT +3.

Powered by vBulletin® Version 3.8.6
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод: zCarot