1. Вы находитесь в сообществе Rubukkit. Мы - администраторы серверов Minecraft, разрабатываем собственные плагины и переводим на различные языки плагины наших коллег из других стран.
    Скрыть объявление
  2. Данный раздел создан исключительно для релизов! Вопросы по лаунчеру или обвязке задавайте ТОЛЬКО в соответсвующей теме автора. Любые другие темы будут удалены, а авторы понесут наказание.

Скрыть объявление
В преддверии глобального обновления, мы проводим исследования, которые помогут нам сделать опыт пользования форумом ещё удобнее. Помогите нам, примите участие!

Фикс Защита лаунчера [Переменная сессия]

Тема в разделе "Веб-обвязки и лаунчеры", создана пользователем Dj Arktic, 27 фев 2013.

  1. Konstantin773

    Konstantin773 Старожил Пользователь

    Баллы:
    153
    Skype:
    Konstantin77313
    Имя в Minecraft:
    K773
    XOR - это операция OR в таблицах истинности (Информатика 9 класс), вычитание с присваиванием модуля.
    Например:
    Первый символ сессии 5, в двоичной системе 110101.
    Первый символ ключа A, в двоичной 1000001.
    Шифруем, получаем 0101011 (1-1|1-0|0-0|1-0|0-0|1-0|1-0), соответствует символу +, скрипт отправляет CHAR-код 43.
     
  2. KickMan

    KickMan Старожил Пользователь

    Баллы:
    103
    Skype:
    kostjan2005
    Имя в Minecraft:
    KickMan
    Так, а что тут такого страшного Orebusfactor поставил и проблема решена...
     
  3. Alexey123

    Alexey123 Старожил Пользователь

    Баллы:
    153
    Session ID генерируется на сервере случайным образом. Protection key только "защищает" данные при передаче.
     
  4. minecrafterminer100

    minecrafterminer100 Активный участник

    Баллы:
    63
    Могу ли я войти под чужим именем на сервер, если я знаю protection key?
    P.S. Я тестирую свой лаунчер на безопасность.
     
    Сникерсни нравится это.
  5. Alexey123

    Alexey123 Старожил Пользователь

    Баллы:
    153
    Если стоят фиксы безопасности(там есть sql-инъекция), то нет. Если стоит обнуление сессии, то такое может быть.
     
    slavik123123123 нравится это.
  6. minecrafterminer100

    minecrafterminer100 Активный участник

    Баллы:
    63
    Ну как мне узнать session id какого-либо логина? И как protection key защищает сессию? Ведь не просто так написано что protection key нельзя говорить
     
  7. Alexey123

    Alexey123 Старожил Пользователь

    Баллы:
    153
    Скажите, что установлено в веб-части, и я скажу, как.
    Protection key защищает данные ТОЛЬКО во время их передачи, сама сессия находится в БД в незащищённом виде.
     
  8. minecrafterminer100

    minecrafterminer100 Активный участник

    Баллы:
    63
    У меня в веб части всё то, что в исходниках сашка.
     
  9. Alexey123

    Alexey123 Старожил Пользователь

    Баллы:
    153
    Тогда нужно ставить фикс, иначе сессию узнают. Ключ нельзя говорить только потому, чтобы нельзя было простым образом перехватить сессию(хотя чит-клиенты сейчас и так запускают и в обход лаунчера).
     
  10. minecrafterminer100

    minecrafterminer100 Активный участник

    Баллы:
    63
    А мне возможно войти под другим логином? Мне известно, что в joinserver нет проверки пароля. Там только проверка session id и server id
     
    ВремяПриключений нравится это.
  11. Alexey123

    Alexey123 Старожил Пользователь

    Баллы:
    153
    Если не поставить фикс, то возможно.
     
    Сникерсни нравится это.
  12. minecrafterminer100

    minecrafterminer100 Активный участник

    Баллы:
    63
    А как? Что для этого надо сделать?
     
  13. Alexey123

    Alexey123 Старожил Пользователь

    Баллы:
    153
  14. minecrafterminer100

    minecrafterminer100 Активный участник

    Баллы:
    63
    Я имею в виду, как войти под чужим именем
     
  15. Alexey123

    Alexey123 Старожил Пользователь

    Баллы:
    153
    Там SQL-инъекция. Этого должно быть достаточно, чтобы захотеть закрыть дыру. Я не буду ломать чей-то проект.
     
  16. minecrafterminer100

    minecrafterminer100 Активный участник

    Баллы:
    63
  17. Автор темы
    Dj Arktic

    Dj Arktic Активный участник Пользователь

    Баллы:
    93
    Skype:
    dj_arktic
    Имя в Minecraft:
    Dj_Arktic
    Ап, дописал jni защиту. Если кому надо - напишу статейку про этот тип защиты. Отпишитесь, если кому надо.
     
  18. Shevchik

    Shevchik Старожил Пользователь

    Баллы:
    173
    Имя в Minecraft:
    _Shevchik_
    Можешь описать, но учти, защиту просто вырезают, а не обходят.
     
  19. Konstantin773

    Konstantin773 Старожил Пользователь

    Баллы:
    153
    Skype:
    Konstantin77313
    Имя в Minecraft:
    K773
    Все равно можно да обойти, притом код на C будет многим глаза мозолить.
    С таким успехом лучше сделать подгрузку нужных class-файлов (зашифрованных DES, AES, RSA) с сайта, расшифровка С-апплетом, далее запуск в Minecraft и PROFIT.
    Опять же дамп JVM раскроет все карты.
     
  20. Автор темы
    Dj Arktic

    Dj Arktic Активный участник Пользователь

    Баллы:
    93
    Skype:
    dj_arktic
    Имя в Minecraft:
    Dj_Arktic
    Дамп выдаст уже невалидную сессию, так что ничего не выйдет.
    Если вырезать защиту, авторизация не сработает, т.к. она модифицирована.
    Я честно долго думал, как можно обойти такую защиту. Извращений будет огого, а толку мало.
     

Поделиться этой страницей