Правила форума Гаранты форума
Размещение рекламы AMX-X компилятор

Здравствуйте, гость Вход | Регистрация

Наши новости:

14-дек
24-апр
10-апр
11-апр

> Важная информация

Перед тем как создать тему или задать вопрос, ознакомьтесь с данной темой, там собраны наиболее распространенные уязвимости и способы устранения.
Так же не поленитесь воспользоваться поиском, вполне возможно, что ваш вопрос уже поднимался на форуме.
При создании новой темы уделите внимание ее названию, оно должно кратко описывать суть вашего вопроса/проблемы. Все вновь созданные темы с названиями "Помогите", "Объясните", "Подскажите" и т.д. будут удалены, а их авторы наказаны.
18 страниц V  « 2 3 4 ... 16 17 »

Защита от подмены на определённые SteamID

, и взлом админки
Статус пользователя sergggzi
сообщение 21.12.2013, 19:03
Сообщение #41
Иконка группы

Стаж: 11 лет

Сообщений: 6536
Благодарностей: 6221
Полезность: 806

Цитата(intercs @ 21.12.2013, 19:00) *
Там же в предыдущих постах есть инфа от кого...
От всех глаз в паблике (ни в status, ни в мониторингах, ни в записи демо, ни через программу и тд...) = это "а", а не от всех, это кроме админа по флагу а, если он пропишет status или amx_who = это "б".

Тогда забудьте про различные статистики по SteamID и прочему, что работает по SteamID.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя RedL1ne
сообщение 21.12.2013, 19:06
Сообщение #42


Стаж: 13 лет

Сообщений: 3828
Благодарностей: 1854
Полезность: 876

Итак, способы посмотреть стим айди:
1. Запись демки
2. Status
3. Поискать на сайте в статистике или банах
4. Пригласить на любой левый сервер и посмотреть там.
5. Пригласить на сервер к себе и слить кроме стим айди еще и пароль если таковой имеется.
и другие. Выше перечислены довольно таки простые способы, которые доступны любому школьнику.

Вы же не скажете своим админам
Цитата
НИКОГДА не заходите на сервера, которые вам подсказали где то. Даже на секунду не заходите. Играйте только у меня! бла бла бла....


Вывод не майтесь дурью. Оригинальный стим айди пока никто не взломал. Могут взломать айди нонстима и на серверах без настроенных префиксов стим/нонстим айди пересекаются. Если префиксы настроить, стим и нонстим айди будут в разных плоскостях и уже хоть бы что взломщик делал, не получится ему получить доступ.

STEAM_0:1:29598030 для оригинального стима
и
STEAM_5:1:29598030 для нонстима.

Вуаля, айди он подменил, а права не получил. Все счастливы.

А если вы выдаете нонстим ребятам админки по стим айди, это уже ваша личная проблема. Сами создаете дыру в безопасности, которую залатать можно, но очень неприятными способами.
Если ваши админы или еще кто, не желают покупать стим из каких то больных соображений. Пускай покупают выделенные IP для себя и получают админки по айпи.

Ps. У меня есть конечно несколько идей, которые более менее адекватны в реализации, но реализовывать их нет никакого желания
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 5 раз
   + Цитировать сообщение
Safety1st
сообщение 21.12.2013, 19:16
Сообщение #43
Стаж: 12 лет
Город: Moscow

Сообщений: 7228
Благодарностей: 8071
Полезность: 196

Хорошая инфа, добавлю в шапку потом, почему 'скрывать SteamID' = 'маяться дурью'.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя intercs
сообщение 21.12.2013, 19:20
Сообщение #44


Стаж: 11 лет

Сообщений: 727
Благодарностей: 408
Полезность: 504

Цитата(sergggzi @ 21.12.2013, 21:03) *
Тогда забудьте про различные статистики по SteamID и прочему, что работает по SteamID.


Ну да, эт понятное дело... Поэтому ответив на вопрос, надо ещё и в итоге отталкиваться от того, как же предсмотреть ведение статистики... Тут не просто.

Цитата(RedL1ne @ 21.12.2013, 21:06) *
Ps. У меня есть конечно несколько идей, которые более менее адекватны в реализации, но реализовывать их нет никакого желания


Спасибо за толковый ответ...

А можно ли поделиться идеями если не жалко, вдруг эти идеи сможет осуществить кто-то другой?
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя RedL1ne
сообщение 21.12.2013, 19:42
Сообщение #45


Стаж: 13 лет

Сообщений: 3828
Благодарностей: 1854
Полезность: 876

Я бы пошел путем доп авторизации, которую так просто нельзя сосчитать в отличие от сетинфо полей.

Варианты:
ИнГейм.
Делаем доп. базу с сохранением последнего айпи (либо всех, в массив)
При входе человека у которого есть права по стим айди с совпадением айпи в базе - выдаем флаги и свободно пускаем играть.
В случае, если айпи не совпадает - делаем запрос пароля в чат. Правильно - выдали флаги и записали айпи в белый список игрока.
Можно дополнить менюшкой с 5-9 вопросами, из которого можно выбрать 1 и потом будут варианты ответов. Причем вопросы и ответы задавать абсолютно бредовые. Но каждый админ, что б знал свою Пару "Вопрос-Ответ".
Этим мы сделаем авторизацию более долгой на 2 клика, но отсечем 95%+ попыток зайти даже зная пароль. А после 3й неправильной попытки входа как обычно бан на какое то время либо заморозка выдачи флагов для айпи.

Внешний.
Тут можно куда больше придумать. И программы авторизации и сайты и вообще что угодно. Даже можно использовать куки авторизацию.

Я бы предпочел сайт.
Например на сайте человек где то вводит свой ник и пароль. Либо привязать это к системе профилей форума/движка, который стоит.
Сайт считывает айпишник, вбивает его в базу и на время пока человек авторизирован на сайте - в базе будет метка, что флаги по такой то админке активны, можно и айпишник белый передать.
Сервер уже при коннекте посылает запрос к базе, получает инфу о активности флагов и белым айпи, тогда уже дает или не дает доступ к адм функциям.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя nsgenn
сообщение 21.12.2013, 19:52
Сообщение #46


Стаж: 10 лет

Сообщений: 885
Благодарностей: 561
Полезность: 667

Сейчас другой вопрос становится проблемным, а именно: по какому критерию банить?

Связка протектор+id_changer+Dynamic_IP становится практически бессмертной. Админы не всегда дежурят, а античиты не все ловят.
К тому же злоумышленник может маскироваться под STEAM ID постоянных игроков, а админ будет их банить. После выхода этого Changera самый долгий бан это по IP,
т.е. пока у читера модем не перезагрузится.

RedL1ne,

Конечно можно сделать полностью авторизацию с предварительной регистрацие на сайте, но сам знаешь, что процентов 60 или больше онлайн отсеется.

Отредактировал: nsgenn, - 21.12.2013, 19:55
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя RedL1ne
сообщение 21.12.2013, 20:00
Сообщение #47


Стаж: 13 лет

Сообщений: 3828
Благодарностей: 1854
Полезность: 876

nsgenn,
Если мы говорим о защите адм прав, то регистрация предварительная - не проблема для маленького круга лиц.

А для защиты от читеров - да, это вечная проблема.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя [WPMG]PRoSToTeM@
сообщение 21.12.2013, 20:03
Сообщение #48
Стаж: 11 лет

Сообщений: 1514
Благодарностей: 1025
Полезность: 725

Через MOTD можно авторизовывать админов.Т.е. сначала смотрим SteamID, если тот, то показываем MOTD. На страничке чекаем куки, если то что надо, то выводим что-то типа "Успешная авторизация". Иначе показываем форму ввода логина-пароля.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя nsgenn
сообщение 21.12.2013, 20:04
Сообщение #49


Стаж: 10 лет

Сообщений: 885
Благодарностей: 561
Полезность: 667

Цитата([WPMG]PRoSToTeM@ @ 21.12.2013, 22:03) *
Через MOTD можно авторизовывать админов.Т.е. сначала смотрим SteamID, если тот, то показываем MOTD. На страничке чекаем куки, если то что надо, то выводим что-то типа "Успешная авторизация". Иначе показываем форму ввода логина-пароля.


куки? а разве это куки не IE? кто сейчас сидит на IE?
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Safety1st
сообщение 21.12.2013, 20:04
Сообщение #50
Стаж: 12 лет
Город: Moscow

Сообщений: 7228
Благодарностей: 8071
Полезность: 196

Цитата(nsgenn @ 21.12.2013, 21:52) *
Сейчас другой вопрос становится проблемным, а именно: по какому критерию банить?

Давайте не будем превращать тему в оффтоп.
Подобных тем уже миллион было.
Создайте свою, для такой экспертов найдётся в разы больше.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя [WPMG]PRoSToTeM@
сообщение 21.12.2013, 20:05
Сообщение #51
Стаж: 11 лет

Сообщений: 1514
Благодарностей: 1025
Полезность: 725

Цитата(nsgenn @ 21.12.2013, 22:04) *
куки? а разве это куки не IE? кто сейчас сидит на IE?

Супербан же по такому же принципу работает. В сам IE и не надо заходить. Вся авторизация в MOTD же будет проходить.

Отредактировал: [WPMG]PRoSToTeM@, - 21.12.2013, 20:08
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя nsgenn
сообщение 21.12.2013, 20:09
Сообщение #52


Стаж: 10 лет

Сообщений: 885
Благодарностей: 561
Полезность: 667

Цитата(Safety1st @ 21.12.2013, 22:04) *
Давайте не будем превращать тему в оффтоп.
Подобных тем уже миллион было.
Создайте свою, для такой экспертов найдётся в разы больше.


ты не понял, эти темы очень тесно связаны этим самым Changer'ом.
Нет, я серьезно - как ты будешь защищать своих постоянных игроков и администаторов, если будет происходить бан по STEAM ID?
Ты всех своих постоянных игроков тупо забанишь.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя [WPMG]PRoSToTeM@
сообщение 21.12.2013, 20:11
Сообщение #53
Стаж: 11 лет

Сообщений: 1514
Благодарностей: 1025
Полезность: 725

nsgenn,
можем в скайпе списаться для написания прототипа авторизации в MOTD, если интересно конечно.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя RedL1ne
сообщение 21.12.2013, 20:15
Сообщение #54


Стаж: 13 лет

Сообщений: 3828
Благодарностей: 1854
Полезность: 876

nsgenn,
постоянные игроки могут быть прикрыты авторизацией после реги.

[WPMG]PRoSToTeM@,
Сейчас многие сборки кс, да и игроки тоже используют протектор. Мотд авториз для широких масс тоже не самое удобное решение. Хотя и хорошее (я таки о нем упоминал в предыдущих постах =) )
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя myself777
сообщение 21.12.2013, 20:16
Сообщение #55
Стаж: 10 лет

Сообщений: 88
Благодарностей: 71
Полезность: < 0

Я еще поставил плагин mazdan'a, который скрывает команду status. Теперь пусть попробуют ломать админку smile.gif

Отредактировал: myself777, - 21.12.2013, 20:16
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя [WPMG]PRoSToTeM@
сообщение 21.12.2013, 20:18
Сообщение #56
Стаж: 11 лет

Сообщений: 1514
Благодарностей: 1025
Полезность: 725

Цитата(RedL1ne @ 21.12.2013, 22:15) *
[WPMG]PRoSToTeM@,
Сейчас многие сборки кс, да и игроки тоже используют протектор. Мотд авториз для широких масс тоже не самое удобное решение. Хотя и хорошее (я таки о нем упоминал в предыдущих постах =) )

Я описывал это как решение авторизации для постоянных игроков и админов.

Отредактировал: [WPMG]PRoSToTeM@, - 21.12.2013, 20:19
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Safety1st
сообщение 21.12.2013, 20:30
Сообщение #57
Стаж: 12 лет
Город: Moscow

Сообщений: 7228
Благодарностей: 8071
Полезность: 196

Цитата(nsgenn @ 21.12.2013, 22:09) *
ты не понял, эти темы очень тесно связаны этим самым Changer'ом.

Тема не про changer, а про взлом админки. Из описания 'Steam id changer' убрал, не только в нём дело.
По вашей теме 'железных' рекомендаций нет и обсуждать тут можно бесконечно. Топик же задумывался как сборник рекомендаций во избежание размножения аналогичных. Вернее, есть, но никто этому последовать не в состоянии - держать Steam-сервер.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя АльТ
сообщение 21.12.2013, 20:54
Сообщение #58


Стаж: 12 лет

Сообщений: 407
Благодарностей: 102
Полезность: 500

Решение с проблемой еще в ноябре того года предложил.
Если лень проходить:
1. Префиксы как сказано в первом посте. Задавать в другом порядке, а не 12345 как тут предлогали.
2. Ставим уникальное значение amx_password_field и всем ноустимам пароли на админки.

Тут кто-то что-то о психологическом факторе говорил, ну так вот, с такими настройками хацкер задолбается брутить и перебирать.

Отредактировал: АльТ, - 21.12.2013, 20:56
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя RedL1ne
сообщение 21.12.2013, 21:04
Сообщение #59


Стаж: 13 лет

Сообщений: 3828
Благодарностей: 1854
Полезность: 876

АльТ,
Ему не надо что то брутить или перебирать. С вашими решениями, достаточно жертву на специально подготовленный сервер пригласить и у взломщика будут setinfo поля жертвы и точная инфа о эмуляторе.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя АльТ
сообщение 21.12.2013, 21:05
Сообщение #60


Стаж: 12 лет

Сообщений: 407
Благодарностей: 102
Полезность: 500

RedL1ne,
ага. Ради админки.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
18 страниц V  « 2 3 4 ... 16 17 »
 
Ответить в данную темуНачать новую тему
 
0 пользователей и 1 гостей читают эту тему: