Чтобы добавлять сообщения и комментарии, .

@Ejik:
Ejik

Сейчас вира отловил — оно в планировщик ставит задачу на изменение первичного днс, клиент ходит в одноклассники (другие сайты не проверил) они открываются и при вводе логина пароля ему сообщение типа вас забанили для разморозки ответьте на смс на номер такой-то администрация одноклассников. смс есествнно платная. Изощряются нынча хацкеры.

@pchela:
pchela

Опять мне прислали мессадж про помощь детям. Ржу сижу. Отправитель — союз МУСУЛЬМАН Волгоградской области. В сообщении говорится про девочку Асию Султанову, мама Дельфуза, папа Карибек. При этом в сообщении пишут: "Братья и сестры , давайте объединимся в помощи ребенку! Не дай Бог кому то из нас столкнуться с таким горем..."
И ведь ведутся же...

@sharkman:
sharkman

Таак, только что открыл письмо с одноглазников в первотеге, а оно возьми, да покажи мне картинки в письме, хотя по-идее не должно, ну и свершу написано, что не должно и предлагает показать. Чего они там такое сделали у себя в одноглазниках, что обошли защиту гмыла? Это-ж ппц, если все так начнут делать.

@freefd:
freefd

odnoklassniki.ru

;)

@freefd:
freefd

Нашёл один из ключевых багов "в поисках сокровищ", помимо бесконтрольной генерации "энергии" для продолжения игры.

"Камни" используются для разрушения "статуй", что загораживают часть острова, для каждой статуи свой тип "камня", один из 5 типов. Но с "камнями" гораздо сложнее, чем с "энергией". Камни регенериуются раз в сутки, либо их можно купить, либо их могут подарить. Они всегда в ограниченных количествах, что изрядно затрудняет прохождение игры, особенно, если на острове несколько "статуй".

Итого получилось безконтрольно генерировать "камни" независимо от типа. Более того, в момент применения "камня" к статуе, которого у юзера-то, по факту, нет, юзеру показывают сообщение об ошибке и просят перезагрузить страницу. После перезагрузки "камень" остаётся у юзера неиспользованным, а вот "статуя" таки исчезает :)

@freefd:
freefd

Считает-то всё сервер, считает, а вот flash приложение свято верит в те значения, которые отдаёт сервер. mitm атака показала, что и энергии может быть и 30000 из 106 (6-7 уровень персонажа в игре) возможных :) При достижении 0 именно flash приложении кричит, что "недостаточно энергии, купить ещё?". При постоянном inject'e корректного положительного значения flash-приложение тихо разрешает "копать" дальше. А вот на сервере, двойка разработчикам, значение в поле таблицы уходит в отрицательные значения. Подозреваю, все численные значения и их контроль от нуля осуществляется именно на клиенте.
Напротив, дать себе n тысяч денег и попробовать скупить весь арсенал item'ом не получится, со стороны сервера контролируется количество денег юзера.

На данный момент, по сути, посредством mitm атаки на http, возможно пройти всю игру практически за день и совершенно бесплатно :)

@freefd:
freefd

Сегодня тихо на wireshark'ал пакетов, пока любимая играла в социальную онлайн-игру "в поисках сокровищ".
Пока что могу сказать немногое: игра основана на событийной машине. То бишь просто так накрутить себе "энергии" или получить лишних предметов/денег не получится. Все события управляются сервером, за исключением интерактива, который делает игрок, но, опять же, item'ы, с которыми обращается игрок, заранее известны серверу.

А вот с защитой приложения уже грустнее. Все запросы к серверам амазона, где, собственно, приложение размещено, выполняются через GET к серверам, расположенным на S3 хостинге амазона, даже не REST. Возвращаемые ответы — JSON. В ответах JSON зачастую видны абсолютные пути к файлам, SQL запросы, имена баз данных. Сессии пользователя, как я понял, по факту, не существует как понятия. Например, мне удалось несколько раз "купить" тамтам, при этом списались деньги с виртуального счета юзера, в этот момент flash приложение не было запущено. Также удалось аккауратно украсть "арбузы" с чужой плантации. Отсюда сразу же видны проблемы архитектуры:

Учитывая, что люди, играющие в такие игры, зачастую кладут реальные деньги на виртуальный счёт, мы можем перехватить запросы пользователя, например, в публичном месте с wifi, и выполнять запросы на покупку разнородного барахла в игре до тех пор, пока деньги на виртуальном счету юзера не кончатся. Тем самым юзернейм понесёт убытки уже в реальном мире.
Второй вариант — автоматический сбор "урожая", "камней", "денег" раз в сутки с чужих плантаций. Человек просто успевать не будет перемещать персонаж по карте так быстро, насколько быстро будет выполняться один GET запрос к серверу по крону в момент "созревания" "урожая".

Продолжение следует :)

@Vugluskr:
Vugluskr

Закрываю нахуй приложения на мейл.ру. Аудитория дубовая, менеджмент говно, платформа ущербная. С рекламой был мощный пердячий пар в лужу. Я попробовал посотрудничать с playflock, заработал аж 3.5 тыщи рублей за месяц. Дык они до сих пор их мне выплатить не могут никак :) Короче, не стоит овчинка выделки.
На одноклассниках никак не могу запустить одно приложение :) Прошел проверки, все вроде бы хорошо, теперь уперся в публикацию на реальном сайте. Какой-то хтонический пиздец, систему авторизации реализовывали мутанты, блять. Чую тоже не хватит терпения.

@freefd:
freefd

roem.ru мрут что ль?