Хостинг серверов Minecraft playvds.com
  1. Вы находитесь в русском сообществе Bukkit. Мы - администраторы серверов Minecraft, разрабатываем собственные плагины и переводим на русский язык плагины наших собратьев из других стран.
    Скрыть объявление

Помогите Воровство сессии и дальнейшая подмена.

Тема в разделе "[Архив] Помощь", создана пользователем Visper, 28 мар 2013.

  1. Автор темы
    Visper

    Visper Активный участник Пользователь

    Баллы:
    68
    Всем доброго времени суток.
    Как избавится от кражи и подмены сессии ?
    Воруют сессию программой , а потом через батник используют, и обходят защиту сервера.
    Ну а потом ставят что хотят, и МобАуры и Икс Реи и чит клиенты.
    Как от этого избавится ?
    Как защититься от подмены сессии ?
    Защитить сессию или же проверку постоянную сделать ( слышал на каком то сервере сессию проверяет и после входа ).
    Помогите кто может пожалуйста.
    Используется лаунчер сашка.
     
  2. Хостинг MineCraft
    <
  3. Konstantin773

    Konstantin773 Старожил Пользователь

    Баллы:
    153
    Skype:
    Konstantin77313
    Имя в Minecraft:
    K773
    Наиболее защищенным будет обнуление сессии с проверкой сессии на существование.

    Код:
    $qq = mysql_query("Select session From dle_users Where name='$user'") or die ("Bad login!");
    if (mysql_fetch_array($qq)="") die ("Bad Login");
    Если сессия в БД длиной 0 символов, то на сервер не пустит.
    Это даже лучше, чем перегенерация сессии.
     
    CyberMan и Visper нравится это.
  4. rescr1pt

    rescr1pt Старожил Пользователь

    Баллы:
    103
    Это поможет только когда игрок нм разу не заходил
     
  5. Автор темы
    Visper

    Visper Активный участник Пользователь

    Баллы:
    68
    Если это так, то как же защитится от подмены сессии ?
     
  6. rescr1pt

    rescr1pt Старожил Пользователь

    Баллы:
    103
    Шифровать её ,если у тебя лаунчер Сашка ,то он шифрует только при авторизации ,а надо ещё и при заходе на сервер ,то бишь шифровать путём редактирования клиента
     
  7. Konstantin773

    Konstantin773 Старожил Пользователь

    Баллы:
    153
    Skype:
    Konstantin77313
    Имя в Minecraft:
    K773
    Launcher.php
    Это:
    Код:
    mysql_query("UPDATE $db_table SET $db_columnSesId='$sessid' WHERE $db_columnUser = '$login'") or die (mysql_error());
    Заменить на это:
    Код:
    $stamp = time()+60;
    mysql_query("UPDATE $db_table SET $db_columnSesId='$sessid' and timestamp='$stamp' WHERE $db_columnUser = '$login'") or die (mysql_error());
    В Joinserver.php после $serverid = mysql_real_escape_string($_GET['serverId']);
    Код:
    $query=mysql_query("select timestamp from $db_table where $db_columnUser='$user'") or die ("Хрен");
    if (time()>mysql_result($query)) die ("Время сессии вышло!!!");
    Если прошло 60 секунд после авторизации, то сессия недействительна
     
    Visper и CyberMan нравится это.
  8. AvengeRkaa

    AvengeRkaa Старожил

    Баллы:
    123
    Имя в Minecraft:
    AvengeRkaa
    Вот это ты дал.
    А что если машина слабая, клиент грузится пол часа?
    А что если за 60 секунд я успею поставить чит клиент?)
     
  9. alexandrage

    alexandrage Администратор

    Баллы:
    173
    Skype:
    alexandr0116
    Как уже было сказано шифрование сессии в клиенте.
     
  10. AvengeRkaa

    AvengeRkaa Старожил

    Баллы:
    123
    Имя в Minecraft:
    AvengeRkaa
    А что мешает её убрать?
     
  11. alexandrage

    alexandrage Администратор

    Баллы:
    173
    Skype:
    alexandr0116
    ЛОЛ тебя тупо не пустит тогда :D. Уберет он.
     
    ВремяПриключений, Help и Lemz0 нравится это.
  12. Shevchik

    Shevchik Старожил Пользователь

    Баллы:
    173
    Имя в Minecraft:
    _Shevchik_
    А ничего, так же как ничего не мешает убрать проверку папки модс и мд5.
     
  13. alexandrage

    alexandrage Администратор

    Баллы:
    173
    Skype:
    alexandr0116
    ЛОЛка ну вот смотри. В клиенте шифруется sessionId и serverId вместе. serverId каждый рас меняется следовательно подменять ты не смоешь. Потому что отсылается все 1 строкой data= . Даже если ты изменишь и подсунешь верный data= тебя кикнет ибо serverId не совпадет.
     
    HoShiMin и slavik123123123 нравится это.
  14. Shevchik

    Shevchik Старожил Пользователь

    Баллы:
    173
    Имя в Minecraft:
    _Shevchik_
    Я не хочу вникать в этот метод, ибо я всегда вырезаю защиту да и всё.
     
  15. alexandrage

    alexandrage Администратор

    Баллы:
    173
    Skype:
    alexandr0116
    Это не поможет в таком случае.
     
    zuma2 нравится это.
  16. Shevchik

    Shevchik Старожил Пользователь

    Баллы:
    173
    Имя в Minecraft:
    _Shevchik_
    ты шифруешь сессию в клиенте и что?
    я просто вырезаю защиту из лаунчера и запускаю ваш же лаунчер, который просто теперь верит что мд5 совпадает и в папке с модами нет ничего лишнего.
     
    Black-UK-Lord нравится это.
  17. alexandrage

    alexandrage Администратор

    Баллы:
    173
    Skype:
    alexandr0116
    :D насмешил лаунчер обфусцирован и сессия шифруется в нем. Соберешь левый сессия не совпадет. Свой я тебе не дам на hil.su тренируйся :trf:.
     
  18. AvengeRkaa

    AvengeRkaa Старожил

    Баллы:
    123
    Имя в Minecraft:
    AvengeRkaa
    Расскажите мне на нормальном русском языке, что говорит этот парень?
    Ничего не понимаю.
     
    Beatboxer нравится это.
  19. alexandrage

    alexandrage Администратор

    Баллы:
    173
    Skype:
    alexandr0116
    Это сложно для мелких)
     
    CyberMan нравится это.
  20. Shevchik

    Shevchik Старожил Пользователь

    Баллы:
    173
    Имя в Minecraft:
    _Shevchik_
    А вообще есть метод для особо продвинутых какиров - собираешь свою OpenJDK , с подменой функции получения md5. Ибо нельзя просто так доверять JVM.
    (Вот только приходится под каждый лаунчер свою JVM собирать, а лаунчер W4P свою таскает.)
     
  21. alexandrage

    alexandrage Администратор

    Баллы:
    173
    Skype:
    alexandr0116
    Примем на заметку чтоб лаунчер свою качал :).
     

Поделиться этой страницей