作者zxcvforz (塔欧兹)
看板FinalFantasy
标题Re: [FF14] 今天下午FF14部分伺服器遭受外部攻击
时间Fri Nov 8 23:05:38 2013
※ 引述《qazieru (=w=)》之铭言:
: 不过这种"让符合条件的玩家手中的金钱强制地流出"这种强大且恶意满点的攻击
: 我在美日英三国 这还是第一次看到。该说是骇客们太强了,还是SEX社的安全漏洞太大了?
: 另外到目前为止这个处理态度是可以让人感受到运营的诚意的
: 台湾厂商的话大概二话不说回溯下去,一切推给犯人,现在已经修完开放营运了XD
基本上应该跟之前被人挖出来的工作阶段 ID 问题相同,
也就是直接改封包,抽换掉你的玩家 ID,送出下标的封包,
伺服器没做验证就以为是受害玩家真的在下标,於是照正常程序处理。
目前 FFXIV 就这三大漏洞
#1 被人挖出来修改封包讯息就能直接强制改动自己角色资料
可以瞬间获得金钱上限的ギル,可以瞬间全职 50 级
只要送出正确的资料库更新指令,後端资料库就呆呆地去更新而无验证
#2 被人发现玩家登入大厅後,不管留在线上几天,使用的工作阶段 ID 都不变
而且这个工作阶段 ID 是不加密直接以纯文字在网路上传输
只要不结束游戏,伺服器端也不会再验证持有这个 ID 的人是否同一个人
#3 这次的竞标攻击
个人猜测这次的攻击应该也是同前两次,单纯是 FFXIV 工作阶段 ID 的问题。
不过我不是网路工程师…所以单纯是乱猜 XD
--
Sent from my HR-93.
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 1.34.87.23
1F:推 tsairay:还蛮扯的..很基本的设计问题 11/09 01:35
2F:推 yolin5460:推,另外我有问题,那为什麽要特定地点才行? 11/09 03:23
3F:→ yolin5460:还是说是因为被害者有发送过下标的封包,才会被拦截到ID 11/09 03:24
4F:→ yolin5460:所以实际上是有碰过拍卖场的人才会发生问题? 11/09 03:25
5F:→ yolin5460:因为如果这样的话,应该没有必要特定锁定距离金钱等限制 11/09 03:27
6F:→ yolin5460:直接把游戏大厅内所有人的ID都拿来用就好,还是说游戏内 11/09 03:28
7F:→ yolin5460:另外有做一些判定? 11/09 03:33
8F:→ qazieru:毕竟骇客的手法我们也只能猜想... 11/09 03:33
9F:推 yolin5460:的确是猜想,不过个人认为面对资安,经常要想到以往所没 11/09 03:40
10F:→ yolin5460:注意到的部份,毕竟是真的有人想到了。另外原po提到的 11/09 03:42
11F:→ yolin5460:工作阶段ID问题,的确是有迹可循。 11/09 03:43
12F:→ yolin5460:不过FFXIV这部份的漏洞再不修好,大概下次会发生更严重 11/09 03:45
13F:→ yolin5460:的问题,不要小看骇客们的反骨心态www 11/09 03:46
14F:推 qazieru:外卦跟盗帐问题也很烦啊...虽然这是线上游的普遍问题 11/09 03:59
15F:→ zxcvforz:是不是特定地点其实没有人确定,因为还在收集资料阶段 11/09 14:12
16F:→ zxcvforz:官方就紧急关机了,只知道最先回报的都是在市场旁的 11/09 14:12
17F:→ zxcvforz:但这并不代表一定是要在市场旁 11/09 14:12
18F:→ zxcvforz:也很可能骇客是直接在市场放一个角色抓路过的人的ID而已 11/09 14:13