Правила форума Гаранты форума
Размещение рекламы AMX-X компилятор

Здравствуйте, гость Вход | Регистрация

Наши новости:

14-дек
24-апр
10-апр
11-апр

> Важная информация

Перед тем как создать тему или задать вопрос, ознакомьтесь с данной темой, там собраны наиболее распространенные уязвимости и способы устранения.
Так же не поленитесь воспользоваться поиском, вполне возможно, что ваш вопрос уже поднимался на форуме.
При создании новой темы уделите внимание ее названию, оно должно кратко описывать суть вашего вопроса/проблемы. Все вновь созданные темы с названиями "Помогите", "Объясните", "Подскажите" и т.д. будут удалены, а их авторы наказаны.
18 страниц V  « 10 11 12 ... 16 17 »

Защита от подмены на определённые SteamID

, и взлом админки
Safety1st
сообщение 26.3.2014, 22:17
Сообщение #201
Стаж: 14 лет
Город: Moscow

Сообщений: 7228
Благодарностей: 8071
Полезность: 196

Цитата(9iky6 @ 27.3.2014, 0:08) *
Developer, он о коде, который Выше, Сообщение #193

Аа. csnet в своём репертуаре: без цитирования.


Никнейм пошёл с игрового ника, под которым гонял на серверах заказчиков)


Мож версию для AMXBans запилишь (amxbans_core.sma)? На многих серверах стоит эта шняга)
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя 9iky6
сообщение 26.3.2014, 22:23
Сообщение #202


Стаж: 14 лет

Сообщений: 143
Благодарностей: 47
Полезность: 260

Цитата(Developer @ 27.3.2014, 2:17) *
Аа. csnet в своём репертуаре: без цитирования.

Никнейм пошёл с игрового ника, под которым гонял на серверах заказчиков)
Мож версию для AMXBans запилишь (amxbans_core.sma)? На многих серверах стоит эта шняга)


Да без проблем, но протестировать не где.
Прикрепленные файлы:
Прикрепленный файл  amxbans_core.sma ( 17,96 килобайт ) Кол-во скачиваний: 12
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Safety1st
сообщение 26.3.2014, 22:54
Сообщение #203
Стаж: 14 лет
Город: Moscow

Сообщений: 7228
Благодарностей: 8071
Полезность: 196

Стоит следовать рекомендациям: админки по SteamID давать только Steam-игрокам.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя TarikYuzkiv
сообщение 26.3.2014, 23:15
Сообщение #204
Стаж: 13 лет

Сообщений: 509
Благодарностей: 196
Полезность: 635

Цитата(Developer @ 26.3.2014, 23:05) *
Инфа для тех, кто поставил Steam-админки на пароль

Забанить игрока, установившего себе админский SteamID

Странно как-то...
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя perfectblood0
сообщение 27.3.2014, 0:36
Сообщение #205
Стаж: 17 лет

Сообщений: 5065
Благодарностей: 2685
Полезность: 488

Цитата(TarikYuzkiv @ 27.3.2014, 1:15) *
Странно как-то...

+
Я тоже что то не понял.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Golum-80
сообщение 27.3.2014, 1:13
Сообщение #206
Стаж: 16 лет

Сообщений: 136
Благодарностей: 40
Полезность: < 0

я конечно не знаю на сколько это решение кому поможет,но у нас на хостинге торчит такая инфа

Скрытый текст
В интернете появился новый steam id changer, который позволяет использовать чужой идентификатор steam. Последствие этого - взлом админки выданной по SteamID для STEAM игроков.
Для предотвращения подобного в настройках dproto выставьте
cid_RevEmu=2
cid_SC2009=2
cid_OldRevEmu=2
cid_AVSMP=2
cid_RevEmu2013=2
cid_SteamEmu=2
cid_SXEI=2
cid_Setti = 4
Однако все забанненые NoSteam игроки, которые были забанены по сгенерированному SteamID, будут разбанены (в связи с изменением метода генерации SteamID) а так же не будут работать админки прописанные по SteamID для NoSteam клиентов.

Хотим напомнить что прописывать админки по SteamID для NoSteam клиентов является грубейшим нарушением безопасности. Злоумышленники легко подделают SteamID и зайдут на Ваш сервер под правами админа! Если все же вы решили вернуть прежние настройки, пропишите cid_RevEmu=1
cid_SC2009=1
cid_OldRevEmu=1
cid_AVSMP=1
cid_RevEmu2013=1
cid_SteamEmu=1
cid_SXEI=1
cid_Setti =3
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Safety1st
сообщение 27.3.2014, 1:15
Сообщение #207
Стаж: 14 лет
Город: Moscow

Сообщений: 7228
Благодарностей: 8071
Полезность: 196

Цитата(TarikYuzkiv @ 27.3.2014, 1:15) *
Странно как-то...

Цитата(perfectblood0 @ 27.3.2014, 2:36) *
+
Я тоже что то не понял.

Последний, кажется, догнал и подсуетился.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя TarikYuzkiv
сообщение 27.3.2014, 1:51
Сообщение #208
Стаж: 13 лет

Сообщений: 509
Благодарностей: 196
Полезность: 635

Цитата(Developer @ 27.3.2014, 3:15) *
Последний, кажется, догнал и подсуетился.

Не совсем понимаю, если права прописаны по steamid и защищены паролем, то как злоумышленник зайдет на сервер не зная пароля?
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя samthugg
сообщение 27.3.2014, 2:03
Сообщение #209


Иконка группы

Стаж: 15 лет

Сообщений: 1333
Благодарностей: 1476
Полезность: 1344

Цитата(TarikYuzkiv @ 27.3.2014, 1:51) *
Не совсем понимаю, если права прописаны по steamid и защищены паролем, то как злоумышленник зайдет на сервер не зная пароля?

Никак. Пароль ведь проверяется первым делом, если ,конечно, "знатоки" не ставят admin.amxx в конец списка плагинов.
Есть пароль - нет проблем. Единственная - то что и пароль можно угнать, но это уже совсем другая история.

Просто он в очередной раз скинул кусок рекомендаций, которые уже месяцами обсуждалось в темах безопасности, но трактовкой "хостинга" (Майарена, не? Там можно найти тех еще советчиков). Другое дело что "мест" на всех желающих может и не хватить.


Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Safety1st
сообщение 27.3.2014, 2:39
Сообщение #210
Стаж: 14 лет
Город: Moscow

Сообщений: 7228
Благодарностей: 8071
Полезность: 196

Цитата(TarikYuzkiv @ 27.3.2014, 3:51) *
Не совсем понимаю, если права прописаны по steamid и защищены паролем, то как злоумышленник зайдет на сервер не зная пароля?

Справедливое замечание! Уточнил свой предыдущий пост. Конечно, речь только о ник+пароль: так многие владельцы серверов делают, потому что проще в бан-листе ориентироваться) Админских прав злоумышленник не получит, а под бан админа подведёт.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя Templar
сообщение 27.3.2014, 10:53
Сообщение #211
Иконка группы

Стаж: 18 лет

Сообщений: 2680
Благодарностей: 978
Полезность: 860

Меценат Меценат

Вроде не такой и тупой но все же понять не совсем могу что к чему кому не трудно дайте совет что к чему )

Настроил так как и у Redlina

Код
IPGen_Prefix1 = 3
IPGen_Prefix2 = 3
Native_Prefix1 = 0;
SC2009_Prefix1 = 4;
RevEmu_Prefix1 = 5;
RevEmu2013_Prefix1 = 7;
OldRevEmu_Prefix1 = 4;
SteamEmu_Prefix1 = 4;
AVSMP_Prefix1 = 4;
Setti_Prefix1 = 4;
SXEI_Prefix1 = 6;


А вот с cid что то делать надо? Или оставлять все как и у меня есть?

Код
cid_HLTV = 5
cid_NoSteam47 = 5
cid_NoSteam48 = 5
cid_Steam = 1
cid_SteamPending = 9
cid_RevEmu = 1
cid_RevEmu2013 = 1
cid_SC2009 = 1
cid_OldRevEmu = 1
cid_SteamEmu = 1
cid_AVSMP = 1
cid_Setti = 3
cid_SXEI = 1
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 2 раз
   + Цитировать сообщение
Статус пользователя 9iky6
сообщение 27.3.2014, 14:02
Сообщение #212


Стаж: 14 лет

Сообщений: 143
Благодарностей: 47
Полезность: 260

Цитата(Developer @ 27.3.2014, 2:54) *
Стоит добавить, что поддержки флага 'f' через web-интерфейс нет, да она и не нужна, если следовать рекомендациям: админки по SteamID давать только Steam-игрокам.

В веб-части не вводится флаг? Или в чем проблема? Все данные из веб-части берутся, если там прописать флаг "f" то и он будет подгружен.
Код:
SQL_ReadResult(query, qcolFlags, Flags, 4)

Разве только в этой части увеличить размер массива, вообще прикол...
Код:
new Flags[32]

clapping.gif для чего там столько ячеек? Вполне хватит:
Код:
new Flags[10]
SQL_ReadResult(query, qcolFlags, Flags, charsmax(Flags))

Даже с запасом.

P.S. Чую это не единственная оплошность разработчиков
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Bloo
сообщение 27.3.2014, 14:21
Сообщение #213


Стаж: 12 лет

Сообщений: 15547
Благодарностей: 6971
Полезность: 1206

9iky6, да, в веб части как правило не предусмотрена прямая выдача этих флагов. Обычно идет выбор, SteamID/IP/Nick+Pass. Ну это не вилакая проблема добавить в коде к SteamID флаг F.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя gudaus
сообщение 27.3.2014, 15:54
Сообщение #214


Стаж: 14 лет

Сообщений: 1571
Благодарностей: 1211
Полезность: 741

Цитата(Developer @ 26.3.2014, 23:05) *
Инфа для тех, кто юзает авторизацию ник+пароль и успокоился.

Забанить игрока, установившего себе админский SteamID, с помощью AMXBans без последствий не получится: та, как правило, банит по SteamID при его наличии у игрока и из-за совпадения ID бан 'перекинется' и на легитимного игрока. Нужно банить как минимум IP - дефолтная AMXX-команда amx_addban, чуть лучше - заодно навешивать различные метки (SuperBan, FreshBans с DopBan2 и т.п.), лишь бы бан-система при этом SteamID не банила.

Можно кикать тех, у кого steamid совпадает со steamid любого админа из списка при заходе на сервер.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Bloo
сообщение 27.3.2014, 16:23
Сообщение #215


Стаж: 12 лет

Сообщений: 15547
Благодарностей: 6971
Полезность: 1206

gudaus, а как будет определяться зашел админ или подменяльщик?
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя TarikYuzkiv
сообщение 27.3.2014, 16:30
Сообщение #216
Стаж: 13 лет

Сообщений: 509
Благодарностей: 196
Полезность: 635

Цитата(Bloo @ 27.3.2014, 18:23) *
gudaus, а как будет определяться зашел админ или подменяльщик?

Но ведь и подменить стим айди сразу на сервере нельзя.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Bloo
сообщение 27.3.2014, 16:48
Сообщение #217


Стаж: 12 лет

Сообщений: 15547
Благодарностей: 6971
Полезность: 1206

TarikYuzkiv, не понял...
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя TarikYuzkiv
сообщение 27.3.2014, 16:55
Сообщение #218
Стаж: 13 лет

Сообщений: 509
Благодарностей: 196
Полезность: 635

Цитата(Bloo @ 27.3.2014, 18:48) *
TarikYuzkiv, не понял...

Ну, играя на сервере нельзя сменить steamid.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Bloo
сообщение 27.3.2014, 16:58
Сообщение #219


Стаж: 12 лет

Сообщений: 15547
Благодарностей: 6971
Полезность: 1206

TarikYuzkiv, нет, это я понимаю, а как это относится к моему сообщению?
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя TarikYuzkiv
сообщение 27.3.2014, 17:07
Сообщение #220
Стаж: 13 лет

Сообщений: 509
Благодарностей: 196
Полезность: 635

Цитата(Bloo @ 27.3.2014, 18:58) *
TarikYuzkiv, нет, это я понимаю, а как это относится к моему сообщению?

Ну-с, можно проверять setinfo, например.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
18 страниц V  « 10 11 12 ... 16 17 »
 
Ответить в данную темуНачать новую тему
 
0 пользователей и 1 гостей читают эту тему: