Strona 1 z 2 12 OstatniOstatni
Pokaż wyniki od 1 do 10 z 16

Wątek: Bezpieczeństwo a poradnik tworzenia gier

  1. #1
    Zarejestrowany
    Dołączył
    Mar 2008
    Posty
    25

    Domyślnie Bezpieczeństwo a poradnik tworzenia gier

    Witam,

    Mam parę zastrzeżeń codo poradnika tworzenia gier vielty:
    1. Brak obrony przed SQL Injection (jak widziałem jest parę tematów na temat tego ataku więc się nad nim wywodzić nie będę)
    2. Brak obrony przed File Inclusion
    Postaram się przykład takiego ataku przedstawić jasno i zrozumiale(ale nie podam na tacy jak go przeprowadzić w grze :nie: ).

    Tworzymy plik bezobrony.php w którym znajdzie się:
    Kod:
    <?php
    print"<h2> Przykład ataku File Inclusion<h2/>"; 
    if &#40;$plik = $_GET&#91;'plik'&#93;&#41; &#123; 
      include&#40;$plik.".txt"&#41;; 
       &#125; else &#123; 
               include&#40;"plik.txt"&#41;; 
    &#125; 
    ?>
    Teraz plik "plik.txt" i "plik2.txt:
    plik.txt
    Kod:
    <h1>skrypt działa dobrze lalallalal...
    skrypt działa dobrze lalallalal...
    skrypt działa dobrze lalallalal...<h1/> 
    <a href="bezobrony.php?plik=plik2">Kliknij tu</a>
    plik2.txt
    Kod:
    Znów wszystko ok
    a także plik atak.txt:
    Kod:
    <?php
    phpinfo&#40;&#41;; 
    ?>
    Teraz wrzucamy plik atatk.txt na jakiż inny serwer niż reszta i uruchamiamy skrypt bezobrony.php
    Wyżwietla nam sie:
    "
    Przykład ataku File Inclusion
    skrypt działa dobrze lalallalal...
    skrypt działa dobrze lalallalal...
    skrypt działa dobrze lalallalal...
    kliknij tu"
    Klikamy w kliknij tu i otrzymujemy:
    " Przykład ataku File Inclusion
    Znów wszystko ok"
    A teraz atak włażciwy:
    1. Kopiujemy adres url naszego atak.txt (bez txt)
    2. zamiast "bezobrony.php?plik=plik2"a dokładnie zamiast plik2 podajemy nasz adres url
    3. Powinno nam się wyżwietlić info o serweże...


    Teraz pozostaje pytanie co można dodać do pliku atak.txt ?? WSZYTKO !!

    Metoda zabezpieczenia?? Jeżli ma ktoż wystarczająco oleju w głowie by budować swoją grę to po zwróceniu uwagi na tą lukę na pewno ją załata w odpowiedni sposób .
    Przykład Magic-World Vielty działa w ten sam sposób co gra z jego poradnika, ale jest zabezpieczona przed File Inclusion i to się chwali :good: .
    Pozdrawiam Aven.

    Ps. Pisałem kod od ręki(bez sprawdzania) więc mogą być drobne błędy.

  2. #2
    Grupa MmoCenter Awatar Kiri
    Dołączył
    Sep 2007
    Posty
    1,741

    Domyślnie Bezpieczeństwo a poradnik tworzenia gier

    Psze bardzo, wystarczy dorobić "sprawdzanie" CO jest w $_GET:

    Kod:
    <?php
    echo '<h2> Przykład obrony vs File Inclusion<h2/>'; 
    
    if &#40;$_GET&#91;'plik'&#93;&#41; 
    &#123; 
    $check = array&#40;'plik1', 'plik2', 'plik3'&#41;; 
    
    if &#40;!in_array&#40;$_GET&#91;'plik'&#93;, $check&#41;&#41; 
    &#123; 
        include&#40;"bca.txt"&#41;; 
    &#125; 
    else
    &#123; 
      include&#40;$_GET&#91;'plik'&#93;".txt"&#41;; 
    &#125; 
    ?>
    chociaż całożć można tak:

    Kod:
    if &#40;$_GET&#91;'plik'&#93; == 'plik1'&#41; 
    &#123; 
        include&#40;"plik1.txt"&#41;; 
    &#125; 
    elseif
    if &#40;$_GET&#91;'plik'&#93; == 'plik2'&#41; 
    &#123; 
        include&#40;"plik2.txt"&#41;; 
    &#125; 
    else
    &#123; 
        include&#40;"bca.txt"&#41;; 
    &#125;

    A coż o SQL injection?
    Sio, nie pomagam via PM !



  3. #3
    Zarejestrowany
    Dołączył
    Dec 2007
    Posty
    131

    Domyślnie Bezpieczeństwo a poradnik tworzenia gier

    Przy includowaniu z $_GET można też sprawdzać(file_exist) czy plik jest na swoim serverze,i myżlę że to uniemożliwa File Inclusion.

  4. #4
    Zarejestrowany
    Dołączył
    Feb 2008
    Posty
    103

    Domyślnie Bezpieczeństwo a poradnik tworzenia gier

    umozliwia weż sobie folder np z avatarami , niekiedy zeby nazwa pliku była unikalna jest kodowana md5 , no ale to mozna zaradzic samemu kodujac nazwe wysyłanego pliku , i co ? file_exist znajdzie plik , a wiesz co bedzie w srodku ? nie wiesz , przeważnie sprawdzane przy wrzucaniu avków jest sprawdzane tylko rozszerzenie pliku , czy to grafika , a jaki problem zmienic rozszerzenie na takie które łyka skrypt ? no bardziej chytrzy przy uploadzie stosują resizeImage o np 1 px mniej , jak nieudane to error .Najprostsza metoda to 1 metoda podana przez Kiri szczególnie przy duzej liczbie includowanych plikow.

  5. #5
    Zarejestrowany
    Dołączył
    Oct 2007
    Posty
    65

    Domyślnie Bezpieczeństwo a poradnik tworzenia gier

    Aven chciałeż się włamać do Magic World?? , nie narażaj sie Vielcie!! On wie co pisze , a jak ktoż by chciał takie zabezpieczenia to ma www.google.pl lub PW do Vielty!! i z tego co napisałeż wynika że próbowałeż się włamać do Magic-World.pl !!

  6. #6
    Zarejestrowany
    Dołączył
    Dec 2007
    Posty
    537

    Domyślnie Bezpieczeństwo a poradnik tworzenia gier

    Lizus. Nawet gdyby próbował, to co Ci do tego?

  7. #7
    Zarejestrowany
    Dołączył
    Oct 2007
    Posty
    65

    Domyślnie Bezpieczeństwo a poradnik tworzenia gier

    Cytat Zamieszczone przez Aylard
    Lizus. Nawet gdyby próbował, to co Ci do tego?
    by miał radożć że się włamał Vielcie do gry! A Vielta by mu potem zrobił WIELE więcej nie miłych rzeczy :"D

  8. #8
    Zarejestrowany
    Dołączył
    Dec 2007
    Posty
    537

    Domyślnie Bezpieczeństwo a poradnik tworzenia gier

    Lol. Vielta o jakiż Bóg dla Ciebie? Żałosne, myżlisz, że jak będziesz się podlizywał do kogoż, kto umie więcej od Ciebie i będziesz na siłę udawać jego kumpla, to Ci to w czymż pomoże? Jeżli tak, jesteż w błędzie.

    EOT

    A, żeby kompletnie nie offtopicować, co do tematu. Ten poradnik raczej jest tworzony jako szkielet - wzór, a nie gotowiec..

  9. #9
    Zarejestrowany
    Dołączył
    Dec 2007
    Posty
    806

    Domyślnie Bezpieczeństwo a poradnik tworzenia gier

    nowik12, Vielta to tez zwykly czlowiek. Umie niezle programowac, ale i inni sa tez dobrzy. Nie wywyższaj kogoż nadmiernie. Na forum wszyscy jestesmy rowni. A te oproby wlamania moim zdaniem byly raczej skierowane w celach poprawy zabezpieczen MW niz zaszkodzeniu tej grze.

    Co do silnika Vielty- tak jak Aylard napisal- to szkielecik, a nie gotowiec. Jest to bardziej przykladowy skrypt do nauki. Zabezpieczenia itp to nastepny rozdzial

  10. #10
    Zarejestrowany
    Dołączył
    Oct 2007
    Posty
    1,255

    Domyślnie Bezpieczeństwo a poradnik tworzenia gier

    Rofl ^^ Dokładnie, to co powiedział Aylard. Poradnik jest tworzony jako szkielet bardzo ogólny. Jeżli ludzie będą z niego korzystać nie zmieniając niektórych rzeczy i nie myżląc to mamy drogę wolną do ich gry. Natomiast bardzo ale to bardzo dziękuję ci Aven za tą próbę, gdyż użwiadomiło mnie to, że udało mi się zrobić MW choć trochę bezpiecznym.

Strona 1 z 2 12 OstatniOstatni

Informacje o wątku

Użytkownicy przeglądający ten wątek

Aktualnie 1 użytkownik(ów) przegląda ten wątek. (0 zarejestrowany(ch) oraz 1 gości)

Podobne wątki

  1. Bezpieczeństwo Tworzonej Gry
    Przez mack w dziale Budowa gry via www
    Odpowiedzi: 12
    Ostatni post / autor: 31-05-2010, 10:33
  2. Bezpieczeństwo na arenie walk
    Przez Khulmar w dziale Poradniki do vallheru
    Odpowiedzi: 4
    Ostatni post / autor: 21-09-2009, 16:36
  3. Bezpieczeństwo
    Przez boosik01 w dziale PHP / MySql
    Odpowiedzi: 3
    Ostatni post / autor: 16-09-2009, 21:56
  4. PDO bezpieczeństwo
    Przez Speedy w dziale PHP / MySql
    Odpowiedzi: 6
    Ostatni post / autor: 12-08-2009, 10:34
  5. Bezpieczeństwo
    Przez Imperator_Edi w dziale PHP / MySql
    Odpowiedzi: 3
    Ostatni post / autor: 03-06-2009, 18:43

Zakładki

Uprawnienia umieszczania postów

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •