AD商业广告自由选择
AD商业广告自由选择

最近传出BluePXL引擎和AspM2引擎的数据被黑问题

正文概述 开源人   2024-11-03 16:44:42  
这也是别人告诉我的,据说是用登录器就可以清掉服务器里面的数据,我先说说我对这事的看法。C6S1234FCOM专注游戏工具及源码例子分享
C6S1234FCOM专注游戏工具及源码例子分享
首先我知道的是,现在流传的PXL源码到最新版的AspM2都受影响,其次DBS和LoginSrv内是我没找到非必要的Delete语句(目前来看),同时也没有Drop Table,因此我的偏向于DBS和LoginSrv本身是没问题的。C6S1234FCOM专注游戏工具及源码例子分享
C6S1234FCOM专注游戏工具及源码例子分享
那么问题可能出在哪呢?C6S1234FCOM专注游戏工具及源码例子分享
我是这样想的,首先它得要登录器,那么登录器能抓到什么呢?自然是服务器的IP。C6S1234FCOM专注游戏工具及源码例子分享
C6S1234FCOM专注游戏工具及源码例子分享
有了IP能做什么?C6S1234FCOM专注游戏工具及源码例子分享
要知道一件事,AspM2和BluePXL都是强制MySQL,MySQL就存在一个问题,如果你的端口没改,也没设置禁止远程登录MySQL同时密码还很简单,就会造成一个结果,你的IP泄露之后,直接通过3306用弱口令爆破你的密码,然后清掉你的数据。C6S1234FCOM专注游戏工具及源码例子分享
C6S1234FCOM专注游戏工具及源码例子分享
当然了,上面的方式也仅仅是我的一种假设,因为技术细节根本没流出来,所以可以来一起讨论讨论。C6S1234FCOM专注游戏工具及源码例子分享
C6S1234FCOM专注游戏工具及源码例子分享
那么基于我上面的假设,应该BluePXL如何防止这种情况发生呢?C6S1234FCOM专注游戏工具及源码例子分享
1、对于使用者而言(实际操作难度从低到高):C6S1234FCOM专注游戏工具及源码例子分享
①服务器安全策略内将MySQL使用的端口屏蔽掉,从而使得数据库仅能在服务器内登录。C6S1234FCOM专注游戏工具及源码例子分享
②将MySQL密码设置为强口令(可以自己找一个随机密码生成器,使用生成的强密码)。C6S1234FCOM专注游戏工具及源码例子分享
③设置MySQL禁止root用户远程登录。C6S1234FCOM专注游戏工具及源码例子分享
④设置MySQL仅指定一个非root账户可远程,同时仅授权该用户查询和修改权限。C6S1234FCOM专注游戏工具及源码例子分享
⑤学习MySQL高级应用,必要的时候可以进行数据回滚。C6S1234FCOM专注游戏工具及源码例子分享
C6S1234FCOM专注游戏工具及源码例子分享
2、对于开发者而言:C6S1234FCOM专注游戏工具及源码例子分享
①换用SqLite3,这个很好理解,毕竟连接Sqlite3需要选择数据库文件,它就算知道你的IP,它又没法访问你的数据库文件,所以自然就连不上了,换句话说,它连你Sqlite3的数据库文件都能访问了,那它删/偷你版本不也都能做到了吗。C6S1234FCOM专注游戏工具及源码例子分享
②换回老式文件数据库,其实我不太推荐,毕竟每次数据结构变了之后都得转换数据。C6S1234FCOM专注游戏工具及源码例子分享
C6S1234FCOM专注游戏工具及源码例子分享
C6S1234FCOM专注游戏工具及源码例子分享
完善一下:C6S1234FCOM专注游戏工具及源码例子分享
④设置MySQL仅指定一个非root账户可远程,同时仅授权该用户查询和修改【world数据库】权限。C6S1234FCOM专注游戏工具及源码例子分享
world数据库就是物品、怪物、魔法那个数据库。C6S1234FCOM专注游戏工具及源码例子分享
C6S1234FCOM专注游戏工具及源码例子分享
C6S1234FCOM专注游戏工具及源码例子分享
好像也有另一种草蛋的可能,那就是SQL注入,如果最后确定真实这个,那就得从源码层面去尽量规避了。C6S1234FCOM专注游戏工具及源码例子分享
C6S1234FCOM专注游戏工具及源码例子分享
问题已经锁定,是某处祖传的SQL代码不严谨导致的SQL注入。


声明:本文系互联网搜索而收集整理,不以盈利性为目的,文字、图文资料源于互联网且共享于互联网。
如有侵权,请联系 yao4fvip#qq.com (#改@) 删除。