Kleine Misslungene sicherheitstests

BlackScorp · 8. April 2014

Hallo Admins,

im webgamers.de wurde ein gemeinsamer Test des Spiels aufgerufen, ich wollte dabei weniger das Spiel selbst, sondern eingabefelder Prüfen und folgende dinge sind mir aufgefallen.

1) Beschreibung des Planeten, javascript möglich. Wenn jemand mein Planeten ansieht, würde er eventuell eine Alert meldung sehen
2) Abbau von gebäuden die nicht gebaut sind möglich. Habe einfach den namen des Buttons geändert und auf absenden geklickt und bei gebäude stufe 0 wurde abgebaut, leider bekam ich dafür keine Rohstoffe gut geschrieben schade..
3) An der stelle konnte ich nicht mehr weiter Testen, habe im Profil ein Template namens "test" ausgwählt und kriege nun Fatal Error von der Smarty Engine..

Könntet ihr mein Template wieder zurücksetzen damit ich weiter die Eingaben testen kann?

Viele Grüße,

BlackScorp

*Levania* · 8. April 2014

Hallo BlackScorp

Vielen Dank für deine Rückmeldungen!
Vieles davon müssen sich unsere Entwickler (die momentan quasi im Urlaub sind..) anschauen, vor allem Punkt 1) und 2) kann ich als einfache Admina nicht nachvollziehen.
Bei Punkt 2) ist es aber so, dass das Abreissen von Gebäude NIE Rohstoffe gibt, sondern im Gegenteil, ebenfalls Rohstoffe kostet (Quasi, weil da die Abreissmaschinen arbeiten müssen und der Platz wieder dem Erdboden gleich gemacht wird, sozusagen)

Zu Punkt 3) Könntest du nachschauen, ob das nun wieder okay ist? Das war bei den Designs, oder? Ich hab es dir zurückgesetzt.
Liebe Grüsse
Leva

PS:
Ausserdem: Falls du mal Hilfe benötigst, oder irgendetwas unklar ist:
Im Chat findet man oft nette Leute, die Fragen beantworten.

*Raffsack* · 9. April 2014

Hi blackscorp,

solltest du bei deinen Tests evtl. Möglichkeiten finden mit denen man sich Vorteile verschaffen kann (Bugs/Cheats) die eigentlich so nicht gewollt sein können schreibe sie bitte per Ingame-Ticket ans Admin-Team. Der Rest ist gern hier im Forum gesehen.

Dir noch eine schöne Zeit,

Raffsack

BlackScorp · 9. April 2014

Hallo Levania,

ja das Design ist nun wiederhergestellt. Nun aber gibt es Sessions Probleme, ich habe mein generiertes Passwort geändert, und habe mich mit dem neuen Passwort eingeloggt, manchmal kann ich irgendwohin klicken, manchmal aber werde ich ausgeloggt und erhalte die Meldung dass die Session abgelaufen ist oder ich mich von einem anderen PC eingeloggt habe(was ich tatsächlich gemacht habe)

Raffsack

werde mal einige tests bezüglich Server Hijacking ausführen, mal sehen ob es klappt, ihr kriegt natürlich dann ein Bericht, besser wenn ich die Cheats herausfinde und euch berichte statt ein Script Kiddie der euch dann im Dunkeln tappen lässt

Viele Grüße

*Raffsack* · 9. April 2014

moin,

jo das kann passieren und ist auch bekannt. Leider war noch keine Zeit da etwas dran zu ändern, denn die wenige Zeit des Entwicklerteams muss sorgfältig ausgenutzt werden

Ich bin mal auf die Ergebnisse gespannt, bin allerdings guter Dinge das Hijacking kaum Erfolg haben wird. River hat da einiges optimiert.Es wäre Ende des Monats eh nett, sich mal zusammen zu setzen um die Ergebnisse von Progger zu Progger zu analysieren.

Aber jetzt wieder btt.

BlackScorp · 9. April 2014

Joa also man kann keine Bilder mit Code einschleusen und bisher fand ich einige Stellen, die als Angriffsfläche dienen können, jedoch Technisch nicht funktionieren, da Multi queries nicht ausgeführt werden können, die ungefilterten Stellen habe ich soweit ins Ticketsystem eingetragen. Also nichts sonderlich kritisches würde ich mal sagen.. ich such dann mal weiter

river · 10. April 2014

Hi,

Zitat von BlackScorp

Hallo Admins,
im webgamers.de wurde ein gemeinsamer Test des Spiels aufgerufen, ich wollte dabei weniger das Spiel selbst, sondern eingabefelder Prüfen und folgende dinge sind mir aufgefallen.
1) Beschreibung des Planeten, javascript möglich. Wenn jemand mein Planeten ansieht, würde er eventuell eine Alert meldung sehen
2) Abbau von gebäuden die nicht gebaut sind möglich. Habe einfach den namen des Buttons geändert und auf absenden geklickt und bei gebäude stufe 0 wurde abgebaut, leider bekam ich dafür keine Rohstoffe gut geschrieben schade..

Wär nett, wenn du dich nächstes Mal im Vorfeld mit den Entwicklern absprechen würdest, bevor du das Spiel "testest" - normalerweise sehe ich das als Bugusing und rate den Admins, den Spieler umgehend zu sperren.

Zu den Bugs 1+2: Den ersten werde ich sofort beheben, vielen Dank für die Meldung. Die XSS-Lücken habe ich vor 2 Jahren grösstenteils behoben, aber es scheinen tatsächlich noch einige über zu sein.
Den zweiten kann ich gern mal beheben, allerdings hat gibt noch etliche solche Bugs, die keine Auswirkungen auf das Spiel haben. Für den nötigen Rewrite fehlen uns die Entwickler.

Die Tickets schaue ich mir im Anschluss an.

Gruss river

BlackScorp · 10. April 2014

Hallo River,

ich habe die Bugs gefunden, aber dadurch ist mir kein Vorteil entstanden, ja das ist Bugusing, aber es hat mir teilweise nur geschadet. Wenn mein Account gesperrt werden soll, von mir aus. Ich dachte mir halt, wäre doch nett wenn ich die Fehler suche und dann berichte, dass ich es nicht im Vorfeld abgesprochen habe, tut es mir leid, aber wenn ein richtiger angreifer gekommen wäre, hätte er ja auch nicht erstmal um die Erlaubnis gefragt.

Derweil ist mir alledings auch nichts neues aufgefallen und alle meine Angriffsversuche waren vergebens.(Bin auch kein guter Angreifer)

*Raffsack* · 10. April 2014

Um mal den Wind rauszunehmen,

den Admins und mir war bekannt das er ein paar Sicherheitstests machen wollte, und er hatte unser ok. Ich hab black im Webgamers Forum als fähigen integeren Mann kennen gelernt, daher das ok von unsrer Seite.
Und du hast ja auch nicht die Zeitm jeden Tag hier rein zu schauen.

@black, das passt schon so. Wir hätten River ja auch informieren können.

Ich finde es viel wichtiger das ihr euch vll mal am Ende zusammen setzt. Externe Evaluation tut immer gut

In diesem Sinne schönen Abend,

Raffi

Kleine Misslungene sicherheitstests

Jetzt mitmachen!

Teilen