Eredan's World

Facku · 04-08-2012 08:40:18

Hola, bueno primero que nada quiero aclarar que esto lo hice stupide buenas intenciones. Soy programador, especializado en aplicaciones web. Eh descubierto una grave 'falla' de seguridad en el juego. La misma esta en la imagen de perfil, o avatar.

Los invito a ver mi perfil en el juego: Facku_López. Veran que cada vez que abren la ventana de informacion los colores de la misma cambia, y no solo eso, sino que ademas les mostrara su direccion de IP!!!

Quiero aclarar que no hay funciones ocultas, nada como un cacheo de ip's ni nada. Les explico mejor:

Lo que hice fue crear un script PHP y subirlo a mi servidor. Dicho en criollo, para que todos me entienda, mi imagen de perfil en realidad es un programa 'camuflado de imagen'. el mismo se carga cada vez que alguein lo vea, por ejemplo cada vez que peleé contra mi en el juego.

Bien, supongamos que yo fuera una mala persona y usara mis conocimientos de programacion e (in)seguridad informatica para sacar ventaja en el juego, si asi lo deseara, podria saber la IP de mi oponente, y de ahi todo un abanico de posibilidades como tirarles un exploit stupide MSF, pero no biene al caso...

Cual es el verdadero problema o falla de seguridad? Que el cliente toma la imagen de la url que le indiquemos directamente. Sin ningun tipo de control, no solo podria usarse la misma para sacar datos de usuarios, se podrian hacer cosas peores...como un session hijacking....

Una solucion? es facil: cuando cambiamos nuestro perfil y ponemos una nueva imagen, que la misma en lugar de ser tomada directamente de la URL indicada por el usuario, sea 'cacheada' en los servidores del juego, asi la imagen es estatica y no un script dinamico como el mio, del que vaya a saber que hace....

Espero lo tomen a bien, y acepten la sugerencia.

Si no me creen entren al juego y busquenme, abran varias veces mis datos de perfil y veran como los colores cambian, y ademas les dice su IP.

Nuevamente quiero aclarar que la imagen no hace nada mas que eso, es solo para mostrar la falla, a continuacion pongo una imagen donde abro mis datos de peril, lo cierro y lo vuelvo a abrir y la segunda vez cambia:

Espero tomen cartas en el asunto ^^

Saludos!!!

Dernière modification par Facku (04-08-2012 08:41:39)

KeineLust · 07-09-2012 22:48:42

muy interesante tus conocimientos y de verdad se agradece que lo hagas para ayudar, aunque igual creo que esta mal compartir tal información stupide toda la comunidad
lo que debes hacer es enviar estos datos por privado al soporte

saludos y espero que no compartas tu información stupide los de tu clan eso ya seria peligroso

Facku · 07-09-2012 23:46:29

Por supuesto que no comparto esto stupide nadie. Personalmente gasto mucho dinero y tiempo en el juego por querer ser el mejor, en buena ley. Si usara mis conocimientos para ganar, sin gloria, seria un victoria vacia, y no me interesa. Y tampoco le veo sentido en un juego en el que no se gana nada 'real'

Y lo hice publico stupide la idea de que sea arreglado mas rapido, pero parece que el staff ni siquiera le ha dado importancia, problema de ellos ^^.

BladeMaster · 08-09-2012 00:12:15

bueno les comunicare algo podria abrir CMD modo DOS y el netstat/n le mostrara las direciones de puerto a puerto por web o msn o lo que sea para q sean hakeados necesitan tener la ip ya que puede ser optenida si te hablan por el buddy y sale el la dirección local, tendrían que tener en cuenta a quien tienen como amigo y cuando le hable o envie cosas por msn o facebook

recomendación es intalar un cortafuego o el no ip el eset not32 trae cortafuegos para que oculten su ip hay muchas forma la cosa es solo protegerse y nada mas

MyGanon · 08-09-2012 00:53:26

bastante interezante, buen aporte...

chsxf · 18-09-2012 10:02:31

Thank you for your report.

Starting today, we are deploying a security update concerning our avatar system.
This update will be publicly notified on the 25th of september, once all avatars are converted to our new system.

However, the information you may grab from the old system concerns only public information such as IP address and does not constitute a so-called security breach.

We have made this modification because we consider the security and confidentiality of our players before all.

astrako · 18-09-2012 10:56:56

estamos en el foro español, no se supone que hay que evitar los comentarios en ingles? eso es para todos, que borraron un par de post por gente que publico en ingles

Izayoi · 18-09-2012 11:02:04

astrako a écrit :

estamos en el foro español, no se supone que hay que evitar los comentarios en ingles? eso es para todos, que borraron un par de post por gente que publico en ingles

Supongo que chsxf no sabe español? Comprensible ya que su trabajo en la empresa es la de dirrigir el grupo de programación.

Bueno, parece que ya van a arreglar este problema. Aunque hayan tardado bastante en notar este tema es bueno que lo hayan hecho al fin.

Eirenne · 18-09-2012 11:43:59

chsxf a écrit :

Thank you for your report.
Starting today, we are deploying a security update concerning our avatar system.
This update will be publicly notified on the 25th of september, once all avatars are converted to our new system.
However, the information you may grab from the old system concerns only public information such as IP address and does not constitute a so-called security breach.
We have made this modification because we consider the security and confidentiality of our players before all.

Esta es la traducción de lo que ha dicho, para los que no os entendáis mucho stupide el inglés:

Gracias por tu informe.

Empezando por hoy, estamos implementando una actualización de seguridad en lo que concierne a nuestro sistema de avatares. Esta actualización se notificará públicamente el 25 de septiembre, una vez que todos los avatares sean convertidos a nuestro nuevo sistema.

Sin embargo, la información que puedes obtener del antiguo sistema concierne solamente a información pública como la dirección IP y no constituye una denominada brecha de seguridad.

Hemos hecho esta modificación porque consideramos la seguridad y confidencialidad de nuestros jugadores por encima de todo.

Dernière modification par Eirenne (18-09-2012 11:46:04)

Venomoth · 19-09-2012 02:10:29

astrako a écrit :

estamos en el foro español, no se supone que hay que evitar los comentarios en ingles? eso es para todos, que borraron un par de post por gente que publico en ingles

Preferible que lo postee como sepa, así por lo menos lo entienden los que sepan inglés. stupide el traductor de Google no lo entendemos ni los hipanohablantes xD

astrako · 19-09-2012 02:42:00

bueno, pero si ha sido capaz de leer y comprender lo que ha explicado facku, yo creo que puede escribir XD, pero vamos es solo por tocar las narices, estoy por postear solo en ingles XD

Eredan's World

Annonce

#1 04-08-2012 08:40:18

Grave Problema de seguridad!!!

#2 07-09-2012 22:48:42

Re : Grave Problema de seguridad!!!

#3 07-09-2012 23:46:29

Re : Grave Problema de seguridad!!!

#4 08-09-2012 00:12:15

Re : Grave Problema de seguridad!!!

#5 08-09-2012 00:53:26

Re : Grave Problema de seguridad!!!

#6 18-09-2012 10:02:31

Re : Grave Problema de seguridad!!!

#7 18-09-2012 10:56:56

Re : Grave Problema de seguridad!!!

#8 18-09-2012 11:02:04

Re : Grave Problema de seguridad!!!

#9 18-09-2012 11:43:59

Re : Grave Problema de seguridad!!!

#10 19-09-2012 02:10:29

Re : Grave Problema de seguridad!!!

#11 19-09-2012 02:42:00

Re : Grave Problema de seguridad!!!

Pied de page des forums