Hacking!?

[Zusen]

Also ich weiß nicht ob es funktioniert... darum möchte ich nachfragen...

Code: Alles auswählen

Situation:
 Freewar läuft im Hintergrund
 und ich sürfe auf einer Seite die sich als FWinfo spezial oder was weiß ich was ausgibt

Wenn jetzt diese Seite einen neues Fenster erstellt indem Fwlinks nachgeladen werden z.B.

(...)/map.php?walk=up

könnte man somit doch einen Fremden acc Steuern?

2 Beispiele was passieren könnte wenn es funktioniert:

1.Mit der gzk wird die Person zur BAW gezaubert und von dort werden alle Items abgehoben und an xy übergeben (schwerer zu schreiben da erst die item ids zum Benutzer dann zum Hacker geladen werden müssen)

2.Es wäre dann auch möglich die Email Adressen des Accounts zu verändern
und somit ein neues PW zu beantragen...(stelle ich mir leichter vor)

Naja wie gesagt ich weiß nicht ob das Funktioniert habe es nicht ausprobiert und es fällt mir schwer das aus dem Kopf vernüpftig zu Formulieren aber ungefähr so denke ich mir das...
Auf ausdrücklichen wunsch kann ich dazu ein Test schreiben falls der gefordert wird...

[-Judas-]

ich glaub niemand will so nen test sehn..

und nein ich bezweifle das das geht

wenn dann müsste der user seine daten irgendwo eingeben.. da das macht hoffentlich keiner

[Blizz]

Schön wärs Judas das machen Hunderte ^^

Würdest du einem ICQ Jirko dein Passwort geben damit er dir 100K schenkt? Garantiert nicht haben dutzende aber gemacht

[-Judas-]

Ich weis das es zig Leute gemacht haben.. aber trotzdem seh ich keine andere möglichkeit als über die Daten die einem die Leutz durch 'ihre blödheit' geben rein zu kommen..

[Fischgraete]

Pass auf Judas, schick mir dein Login und dein pw und ich zeig dir wie das geht

[-=Baphomet=-]

Ich weis das es zig Leute gemacht haben.. aber trotzdem seh ich keine andere möglichkeit als über die Daten die einem die Leutz durch 'ihre blödheit' geben rein zu kommen..

Lock jemanden auf eine Seite von dir, besorg dir dadurch die Session-ID und dann gib ihm. Du spielst sozusagen seinen Account so ganz ohne Daten

[damh]

Das Verfahren an sich funktioniert.

Man kann alle Funktionen, die direkt durch ein einziges mal laden ausgelöst werden, nutzen.

Bei den schlimmsten dieser Funktionen gibt es einen "zufälligen" Parameter, den man allerdings dazu auf anhieb richtig erraten muss. Per ActiveX und Flash müsste man sowas trotz dieser Einschränkung machen können

Einige Bugs, die auf obigem Verfahren beruhen sind zum Glück schon beseitigt worden

Es funktioniert soweit ich weiß, aber noch eine ganze Menge und es ist schwierig gut dagegen vorzugehen. Man kann nur hoffen, dass die meisten Spieler nicht auf Fremdseiten gehen. Was alles geht, habe ich ca. vor 6 Monaten mal demonstriert

Gruß damh

[-Judas-]

Pass auf Judas, schick mir dein Login und dein pw und ich zeig dir wie das geht

Klar mach ich
Judas Welt 6 passwort erm.. *grübel* is mir wohl entfallen


@damh
Ich glaub ja nicht das sich jemand den aufwand macht wegen ein bischen spielgeld

[damh]

@damh
Ich glaub ja nicht das sich jemand den aufwand macht wegen ein bischen spielgeld

Hmm, mir ging es bei den Tests nie darum mich zu bereichern. Nachdem ich damals gefragt wurde, ob sowas machbar ist, hatte ich glaub ich den Prototypen in 30 Minuten fertig.
Also von viel Aufwand kann man nicht sprechen (Man muss allerdings ein wenig Infrastruktur dafür zur Verfügung haben, die nicht unbedingt jeder hat.)
Gruß damh

[gloop]

Geht, aber wer das benutzt wird gebannt. Von daher doch nicht zu empfehlen und einfach zu große mühe

[goIdhand]

Zu große Mühe?
Man nehme an, jemand steht an der goldmine (und ist mal nicht afk), man macht schnell mal ne sicht der dinge und sieht, huch, der hat ja 200k dabei.
Nun macht man sich schnell bei "realhp.de" o.A. eine Homepage, auf welcher in einem Pop-Up, das fertige Fenster zum Geld abgeben geöffnet wird.
An diesen Link kommt man sehr schnell, da man keine bestimmten Item-IDs braucht, sondern man nur selbst mal kurz guggen muss, wie sein link zum 1 gm an wen anderes abgeben lautet.
Da muss man nur noch die Anzahl der GM ändern auf 200000, die Player-ID auf seine eigene verändern, und den Spielernamen auch auf seinen eigenen ändern.
Nun flüstert man den Spieler der an der Goldmine steht an und sagt ihm, er solle mal auf z.B. "realhp.de/members/freewarspezial" gehen, denn dort sei ein neues fwwiki entstanden und man müsse lediglich Pop-UPs aktivieren.
Der ahnungslose spieler geht auf die Seite, das POP-UP öffnet sich und da steht " du hast 200000 Goldmünzen an den Spieler XYZ gegeben", ohne das man etwas gemacht hat.

Es funktioniert, da mir auf selbem Wege mal versucht wurden 100k in w3 abzuknöpfen (wo ich nicht mehr spiele). Ich wurde angeflüstert an der baw wo ich kurz zuvor 100k abgehoben hatte. Ich zahlte die gm wieder ein, ging auf die Seite und es öffnete sich ein Fenster "So viele Goldmünzen hast du nicht dabei" (oder so ähnlich)


mfG

goIdhand

[damh]

Wenn jemand auf eine Seite meiner Wahl geht, kann ich alles mit dem Account machen. Dass das funktioniert, ist nichts neues und das ist auch nicht schwer zu machen. Dafür braucht man nicht einmal ein Popup

Man braucht für die meisten Sachen aber das Opfer nichtmal zwingen auf irgendeine Fremdseite zu gehen und diesen Fall meine ich
Gruß damh

[Magnus Luterius]

ich glaub niemand will so nen test sehn..
und nein ich bezweifle das das geht

Das ist ein schöner Widerspruch in sich:
"Ich glaub dir nicht! Aber ich will auch nicht, dass du's mir beweist!"

Ich finde das Hacking-Thema sehr ernst. Da nicht sicher ist, ob die Betreiber den Thread hier lesen, würd ich an deiner Stelle diesen Test schreiben und an sie senden, damit man sich darauf einstellen kann.

@goIdhand:
Solang die Versuche so offensichtlich sind wie in deinem Fall, mach ich mir da noch keine Sorgen. Den "Täter" erwischt man ja dann relativ leicht. Das, was damh da schildert, dass eine Fremdseite noch nichtmal nötig ist, beunruhigt mich umso mehr.

Es funktioniert soweit ich weiß, aber noch eine ganze Menge und es ist schwierig gut dagegen vorzugehen. Man kann nur hoffen, dass die meisten Spieler nicht auf Fremdseiten gehen. Was alles geht, habe ich ca. vor 6 Monaten mal demonstriert

Hast du eine Quelle, bei der man nachlesen kann?

[damh]

Jein (die Tickets bzw. Emails).

Ich will hier niemanden auf dumme Gedanken bringen. Man kann mit wenig Aufwand den Spielbetrieb nämlich erheblich stören. Wenn jemand von irgendwem Geld erbeutet, ist das für die eine Person vielleicht ein Weltuntergang, aber das Spiel läuft zumindest weiter

Gruß damh

[sgr011566]

Hast du eine Quelle, bei der man nachlesen kann?

Natürlich, jemand wie damh, dem ernsthaft was daran liegt, Sicherheitslecks zu finden, damit sie geschloßen werden, wird sie bei nächstbester Gelegenheit weitergeben ... sorry, klar wäre es interessant, ich würde zu gern mal alles erfahren, was damh schon herausgefunden hat. Aber der Satz ist dann doch etwas, hm, fehl am Platz. Vermutlich hast du einfach aus Interesse gefragt - wie gesagt, verständlich, aber es sollte klar sein, dass da nichts kommen wird.

Btw, ja, im Support gibts da zB einige Sachen (vor allem, aber nicht nur von damh) mit teilweise wirklich gemeinen Lücken, auf die ich jetzt sicher nicht näher eingehe. Unter anderem auch Sachen, die noch gar nicht behoben wurden (wobei die Tickets von damh immer Konseqenzen hatten). Schon allein von daher wäre nachlesen eine schlechte Idee, denn noch ist nicht alles, was damh gemeldet hat, vollständig bereinigt.