首页 > 热点新闻> 产业新闻

一个杂耍演员的闹剧 70万舰娘吧的真相

时间:2015-01-16 10:49:21  作者:程序员Delton  来源:网络  收藏

    14日“舰娘圣战”事件始末详情查阅:舰娘遭百万提督夜战 官网镇守府已沦陷

    15日“舰娘圣战”事件的后续发展:舰娘国服惨遭停服 新吧主遭人肉殴打

    19日”舰娘圣战”事件的公告:《舰娘世界》对“70万购买贴吧”事件的公告声明

     说好来给大家讲故事的。

    这件事要从一个月前近两个月的时候有个网友给我看了个奇葩的游戏,就是今天的主角“舰娘国服”,所谓国服,其本质是私服。熟悉Flash的同学我想都很清楚,Flash的ActionScript作为一个脚本语言,反编译基本不会遇到任何问题。这个游戏就是通过反编译破解DMM的舰队Collection游戏后建立的一个私人服务器。作为一个私服,无论在哪里就是一个小众低调的存在。我在网站逛了一圈之后也摸清了这个网站的基本性质,基本是一个个人作品。网站无论在登录还是验证码系统都存在严重的漏洞,但是考虑到舰娘国服是一个小众自娱自乐的东西也没有多想。

    当时发现的几个漏洞现在我也可以来说说:

    首先密码明文上传,通过抓包可以直接获取到明文密码。网站是HTTP非加密传输的,再加上密码不哈希直接上传基本属于作死行为,任何一个在同一网络或传输的任何一个路径都可以轻松获取到用户的账号和密码。

    第二个漏洞是验证码的生成漏洞,验证码生成器只生成一组四位数字,数字的字体、大小、形状都、位置没有变化,一个简单的算法就可以实现100%识别率的自动识别。

    第三个漏洞是验证码的验证漏洞,验证码由一个名字为athlon的Cookies控制,不受时间影响也不受使用次数影响。只要锁住Cookies发送验证码,无限次发送都可以绕过验证码。至此验证码系统基本属于没有作用的状态。

    但是依然是没有多想,因为如果是一小群人自己玩玩,安全没做好也完全是可以理解的。

    问题就发生在2015年1月14日。百度 舰队Collection 贴吧原吧主突然集体消失,此后空降了一位名叫Athlon18的吧主。吧主上台后大肆删帖,并将贴吧作为自己所谓“国服”的宣传。网传(未证实)是斥资70万人民币购买下的吧主。有人曾洗地说,此吧主和舰娘国服没有关系,我想这点是不可能的。我们来看一下这位吧主的ID,我们再来看看我一个月前找到的控制验证码的Cookies的变量名。显然是将开发者名字作为变量名的做法(而且此做法非常不科学,基本可认为只是个人小作坊才干得出的事)。并且该游戏称将于15日公测,至此整个事件的性质发生了变化,也是我决定插手的因素。

更多精彩内容,请关注官方网站:http://u.gamefy.cn。玩游戏,就上游戏风云。

标签: 舰娘     70万     贴吧     岛风     私服     舰娘国服     ddos    
相关新闻