Рейтинг темы:
  • 0 Голос(ов) - 0 в среднем
  • 1
  • 2
  • 3
  • 4
  • 5
Баг с атрибутом.
#1
Подскажите как пофиксить баг с атрибутом через сервис вставки атрибут через Hxd ставят сколько угодно атрибута в шмот и оружие Сборка овер.
Ответ
#2
Описание на 5 с +. Если сервис самописный, то явно же, рукожопие кодера не заставило себя ждать Wink
Прежде всего, нужно учитывать уязвимость байпассов и уже потом, сразу же, приходит мысль о том, что нужно не передавать параметры в строках, а использовать заготовленные варианты, либо же, ПРОВЕРЯТЬ то что происходит на клиенте и на сервере! Нельзя доверять клиенту, клиент - зло Wink
Ответ
#3
Вот сам сервис
Сервис
Ответ
#4
Замечательно, и тот кто писал данное чудо - всех и подставил Wink Переписываем участки кода где имеются манипуляции с получением параметров с байпасса(_ббсЕнчантГо, _ббсЕнчантЮзеАтр). Повторюсь - не нужно доверять клиенту!
Ответ
#5
В последних шарах оверов видел уже кэширование байпасов. :confused:
Родился, живу и когда-нибудь умру.
Ответ
#6
KilRoy Написал:Описание на 5 с +. Если сервис самописный, то явно же, рукожопие кодера не заставило себя ждать Wink
Прежде всего, нужно учитывать уязвимость байпассов и уже потом, сразу же, приходит мысль о том, что нужно не передавать параметры в строках, а использовать заготовленные варианты, либо же, ПРОВЕРЯТЬ то что происходит на клиенте и на сервере! Нельзя доверять клиенту, клиент - зло Wink

В связи с этим возник вопрос, а какие есть простые и действенные способы проверки параметров в байпасе или какие есть возможности передавать заготовленные варианты? Ну вот, например, есть самописный сервис, где администратор вынужден передавать параметры ItemId и количество.

Я так понимаю, что простейший вариант проверки на стороне сервера это наличие указанного предмета в указанном количестве у игрока в инвентаре. На сколько это действенно? Может ли злоумышленник отправлять ложные данные и об этих параметрах?

Интересуюсь, потому что сам написал уже много различных байпасов, которые, в том числе, иногда сильно параметризированы.
Ответ
#7
Такое вроде происходит только в Alt+B, как проверить подручными средствами
Брать l2phx открыть alt+b проверить наличие байпасов... Если они с параметрами, то все оч плохо...
Ответ
#8
neonv1 Написал:Такое вроде происходит только в Alt+B, как проверить подручными средствами
Брать l2phx открыть alt+b проверить наличие байпасов... Если они с параметрами, то все оч плохо...
Что плохо? Перед показом диалога сохранить байпасы в список и если потом от клиента пришел пакет с байпасом которого нету в списке у серверва, то шлем лесом. Сложно?
Ответ
#9
Самое тупейшее, но действенное решение: создаем в классе персонажа список. При вызове любой html (будь то alt+b или же обычная html) парсим ее (например на этапе отдачи клиенту) и делаем список валидных байпассов. В итоге даже пошариться по мультиселлам не выйдет. Сервер просто кикнет.
[Изображение: 4e38c909fcd08c5fcdf363b54a62.png]
Ответ


Перейти к форуму:


Пользователи, просматривающие эту тему: 3 Гость(ей)