Обсуждение, релизы, поиск игровых движков браузерных онлайн игр. Рекомендуемые движки. Движок БК 1 (2002-2003).

История взлома одной браузерной игры. Планшет Explay N1 Прошивка. Возврат контроля / Хабрахабр. Доброго времени суток. Я занимаюсь аудитом защищённости веб- приложений. По простому — тестами на проникновение в отношении веб- сайтов. Иногда в моей практике встречаются интересные и познавательные случаи, которые я бы хотел описывать в виде таких вот статей, но редко (для меня это первый случай) бывают ситуации когда клиент разрешает публикацию подобного материала с подробным описанием всех имевшихся проблем и предпринятых действий.

Естественно, тут вы не встретите никаких конкретных имён, названия фирмы- заказчика и т. Упоминания таких данных мне, наверное, никто никогда не разрешит. Надеюсь что для вас, уважаемые читатели, данная статья окажется интересной и полезной. Предисловие. Изначальная ситуация была следующая. Жила и развивалась одна браузерная игра со сравнительно высоким он- лайном. Проект монетизировался за счёт покупок игроками виртуальных вещей за реальные деньги. В один прекрасный день среди игроков появился взломщик, который найдя несколько уязвимостей в движке игры стал нарушать игровой баланс различными способами.

Он увеличивал количество денег, как у себя, так и у других игроков, повышал всем желающим игровой опыт, генерировал редкие игровые предметы. Естественно платежи от пользователей почти сразу сошли на нет. Зачем платить за что- то если это что- то бесплатно раздают? Разработчики пробовали бороться с этим, даже нанимали человека, который за 2.

Их терпение окончательно лопнуло когда злоумышленник слил дамп БД + все исходные коды игры и разместил их на одном публичном форуме, с предложением использовать игру кто где хочет совершенно свободно. И если раньше, в процессе борьбы с хакером, игра хоть как- то развивалась, то теперь делать это было просто нельзя — любые доработки или новые модули сразу же могли утечь в сеть. Первичный осмотр. Игра базировалась на VPS под управлением Debian с администрированием силами хостера. От последнего, кроме самого сервера, давалась ещё панель управления и Php. My. Admin. Настройка PHP позволяла и открывать и подключать внешние файлы (allow.

Безопасный режим (safe. Функции типа system(), exec(), и других, обеспечивающих выполнение системных команд, запрещены с помощью disable. Вывод ошибок был включен, а об их логировании не шло и речи. Работа веб- сервера с PHP велась в режиме Fast.

CGI, но главный козырь в плане безопасности — запуск скриптов с правами их владельцев — был сведён на нет простым фактором — владельцем содержимого всех поддоменов был один и тот же пользователь. На этом моменте стало ясно что уязвимости не обязательно должны быть в движке самой игры, они могут находиться и на периферийных доменах. Для каждого из поддоменов имелась своя БД, а работа из скриптов с ними шла через одного и того же пользователя. И если в адрес первого ничего плохого сказать не могу, то с FTP ситуация была совершенно иная. Попав на FTP, пользователь сразу получал доступ к содержимому всех поддоменов. Кроме того, здесь же, в корне FTP, лежала папка с бэкапами базы данных.

1. Бойцовский клуб (combatz-ru за12-06-2015 - Авторская версия) - отличная браузерная MMORPG с интересной боевой системой и .
2. Движок игры разрабатывался без использования системы контроля.

Скрипты игр, скрипт игры онлайн, скачать скрипт игры, скрипты браузерных игр, скачать скрипт онлайн игры, скрипт браузерной игры, скачать скрипт . Скрипт браузерной игры, рeмейк на зарубежную LoRD. Скрипт популярной в России игры Бойцовский Клуб. Так как он был . Суть: готова купить полостью готовый к запуску, строго готовый под ключ, движок браузерной онлайн игры, только БК типажа. Браузерная игра Бойцовский клуб (от 12-06-2015). Скрипт браузерной онлайн ролевой игры LifeIsWar (01.04.13) - Жизнь в Мире Сильнейших . Подскажите где можно скачать реально рабочий скрипт браузерки? Желательно РПГ тот же БК, например. Просто в ознакомительных .

В них было всё вплоть до паролей пользователей. Тут же находились и архивы с логами FTP. Апогеем всего этого, как наверное уже многие догадались, являлось то, что логин и пароль были одни и те же на SSH, FTP и My. SQL. Движок игры разрабатывался без использования системы контроля версий.

Всё правилось «по живому», а если нужно было создать резервную копию файла, её прямо на FTP называли чем- то типа script. Работа над движком велась уже достаточно долгое время, и таких «откатных» файлов были десятки. Инструкция Для Hansa Comfort 1000. Своим присутствием они сильно осложняли поиск веб- шеллов и прочих бэкдоров, которые мог загрузить нападающий. А анализ исходного кода, на предмет наличия в нём уязвимостей, становился просто не возможен. Вообщем, нужно было срочно исправлять ситуацию. Попытка номер раз.

Нужно упомянуть об одной форе, если так можно выразиться, которая работала на нас. К тому времени как разработчики обратились ко мне, развитие игры практически встало, количество игроков упало и взломщику самому наскучило в ней сидеть. Он заходил раз в день, примерно час занимался всякими переписками и уходил. Активно себя вести он начинал только когда начинали действовать разработчики — вводили какие- то дополнения, блокировали его аккаунт и т. То есть можно было с уверенностью говорить о том, что пока мы не начнём вносить заметные, для него, изменения в ПО сервера и игры, взломщик сам шевелиться не начнёт. Поэтому в первую очередь мы занялись максимальным уменьшением площади его влияния. Далее в системе были созданы пользователи для каждого поддомена, и всё их содержимое было перемещено в соответствующие домашние директории.

Аналогичным образом поступили с базой данных. Теперь злоумышленник не мог имея контроль над одним сайтом, как- то воздействовать на другие. Права 7. 77 мы сняли со всех директорий, которые их имели. Сайты полностью стали отделены друг от друга. Функции запуска команд ОС, а также возможность подключения и чтения файлов по URL стали запрещены. Вывод ошибок отключили, попутно включив их запись в файл (error. К сожалению, по причинам связанным с особенностями работы движка, сразу не получилось включить безопасный режим (safe.

Поэтому далее пришлось работать без их помощи. Это давало ещё некоторое количество времени. Как раз к этому моменту разработчики удалили все резервные скрипты и можно было приступать к анализу используемых веб- приложений. Конечно, критичной брешью это не является (те же конфигурационные файлы представляли из себя php- скрипты и прямое обращение к ним ничего не давало), но если их содержимое доступно извне, они представляют собой хорошее место для хранения вредоносного кода. Когда в такие папки доступ закрывают, количество мест для поиска «подарков» от злоумышленника резко снижается.

В случае с движком игры, возможность обращения извне мы оставили в одну директорию со скриптами и в несколько с JS- файлами, стилями и изображениями. В последних просто запретили выполнение скриптов.

Таким образом осталась одна папка где вообще внешним пользователем могло быть вызвано выполнение PHP- кода. В принципе, злоумышленник мог внести опасные изменения в какой- нибудь внутренний скрипт, и попытаться обращаться к своему коду уже из общедоступных скриптов. Но и эту проблему мы решили, правда не сразу (об этом чуть ниже). За всё время нашего сотрудничества их было обнаружено несколько десятков. Нанятый для их устранения человек, о котором я уже упоминал в начале статьи, банально приписал к каждым попадающим в запрос переменным использование функции mysql.