為什麼這篇瑪奇登入小幫手鄉民發文收入到精華區:因為在瑪奇登入小幫手這個討論話題中,有許多相關的文章在討論,這篇最有參考價值!作者nfuyuu (土)看板Mabinogi標題Re: [心得] 瑪奇帳號防盜小步驟(補充原理)時間...
既然都有人發了
我就順便觀念宣導一下(X 順便騙騙P幣(O
首先要了解 現有的防盜措施從 一 直 以 來 就不是100%防盜
以mabi舉例
怪→盜帳者
人→玩家
重甲→防盜
技術→使用習慣
知識→資安觀念
亮毛→被盜
這樣有比較容易理解嗎?
那麼 說到登入機制
防盜防的只有你登入BF這邊
其它的事一律不管
也就是說 不管你有沒有裝防盜 只要中毒就會被盜
防盜防的只是知道你帳密的 有在追新聞的就知道 橘子有內賊
不只是外部入侵(木馬) 內部也會流出(內賊)
以下暗黑版
其實從很久以前就有一個叫登入小幫手的東西
那是啥? 嗯...功能就跟DEMO影片差不多囉
今天看了這篇算是知道其運作原理了
上面你看不到~
最後 最關心的重點就是 怎麼才不會被盜?
首先 防盜還是要裝
網路上的廣告跟連結沒事不要亂點
對自己沒信心的話 就照原PO的建議 沒事就登出
或是女生可以找個像土土一樣的閃光 只是會被狂抽猛送
※ 引述《j28347846 (呆呆翰)》之銘言:
: 前情提要:
: 原PO很久沒開瑪奇,FB上看到活動送黑火馬與100AP藥水才忽然想回鍋
: 雖然看到活動時已經趕不上黑火馬,而且一想到20歲的初音就...
: 不過100AP藥水對我還是很有吸引力
: 同時也上PTT逛逛
: 沒想到一上來就看到被盜
: 當下直覺就是:來分析Beanfun安全狀況的並寫文章讓大家知道哪裡要小心吧
: 還沒開始寫文,先用自己電腦測試一下:這機制夠不夠安全
: 於是意外就這樣發生了......
: (多希望不會看到意外讓我可以寫原來的分析文)
: 重點:
: 目前如果要小心「瑪奇帳號」被盜用,請做好以下幾個安全措施:
: 1. 登入瑪奇後,盡快將Beanfun網頁登出,或者至少關電腦前網頁要登出
: 不要用清除Cookie的方式登出,直接關網頁後你得重新登入也不算登出
: 請直接點Beanfun網頁右下角的登出可以確保帳號安全
: 2. 隨時檢查瀏覽器擴充套件,有沒有被安裝奇怪的東西
: 當然不要被裝擴充套件最好,不過很多軟體都可以不詢問你直接幫你裝
: 尤其是現在很少防毒軟體會確保瀏覽器是安全的
: 如果以上兩點不確實,尤其是第一點沒做好的話
: 就算用PlaySafe或OTP保護,瑪奇帳號還是會被盜用
: 漏洞已經電話回報遊戲橘子,似乎也有其他人回報,但什麼時候修正也不確定
: 修正之前做好以上兩點至少可以少一點被盜的機會
: 版主都說可以了,那就把原理寫上吧:
: Beanfun以前的登入流程如下圖:
: 啟動遊戲→輸入帳號密碼→登入遊戲
: 而新Beanfun的登入流程如下(舊Beanfun的流程也差不多)
: 開啟Beanfun網頁→網頁登入→點選啟動遊戲→產生「Session參數」→
: 傳「參數」給BFWebStart→BFWebStart跟橘子伺服器要求產生OTP→
: 帶著「包含OTP的參數」啟動遊戲→自動登入遊戲(因為帳號密碼已寫在參數)
: PS. OTP = On Time Password = 具有時效性的密碼
: 像是信用卡刷卡要用手機接收一個五分鐘內輸入的認證碼,那也是OTP
: PS2. 如果你把工作管理員的命令列打開,就可以看到該應用程式啟動時的參數
: 前幾篇有人提到踢人的方式,也是類似的方式找出OTP
: 基本上只要程式還在執行,你執行時的參數都可以查(不過依然安全原因如下)
: Beanfun剛出來的時候我就在踹(Try)說如果把OTP抄下來,能不能用
: 答案是:可以用,但是只有五分鐘的時效,不構成危脅(隨時可查到可是查到也過期了)
: 因為以前一直只有踹這塊,所以一直覺得Beanfun還蠻安全的(慚愧)
: 這次看到被盜才想到:如果給BFWebStart的「Session參數」被抄下來呢
: 話不多說開始動手踹,不過因為BFWebStart只會執行20秒
:
: (程式結束就查不到參數,而且瑪奇主程式出現開始遊戲時,他就任務完成結束了)
: 手腳再快也抄不下來,所以寫了個小工具把流程從原本的:
: 網頁→BFWebStart
: 改成這樣:
: 網頁→攔截→BFWebStart
: 第一次當然很正常的啟動遊戲登入遊戲(只是多個步驟攔截參數嘛)
:
: 如果這串參數跟後面的OTP一樣5分鐘就過期,那倒也還好
:
: 畢竟你登入5分鐘內被踢出,一定會懷疑有問題馬上重新登入
:
: (BF後直接登入瑪奇雖然會寫「請升級帳號」,不過其實會自動幫你按是踢人)
:
: 關閉遊戲休息個五分鐘後,把剛剛攔截下來的參數拿出來,再次啟動BFWebStart
:
: 等等,五分鐘後還是可以啟動?! 我以為這參數只能用一次或5分鐘後就會失效啊
:
: 很不幸的,睡覺前共放了兩個小時以上
:
: 這串參數還是可以讓我直接自動登入瑪奇(也就是前面講的意外)
:
: 沒錯,如果你啟動遊戲時,給BFWebStart的參數有抄下來
:
: 根本不需要Beanfun網頁就可以直接登入遊戲
:
: 也是PlaySafe沒用的原因(網頁都不需要開了,哪需要晶片卡)
:
: 後來測試一下,要怎麼讓「給BFWebStart的參數」,確定以下行為會讓參數報廢
: 1.登出Beanfun網頁
: 2.不登出關網頁,直到網頁顯示要登入後,重新登入網頁Beanfun
: 3.11/27 6:21更新 4:59的參數,6:19時會自動報廢,從半天變成一小時左右
: 而以下行為不會讓參數失效:
: 1.改密碼(對,進信箱改密後沒重新登入參數依然有效)
: 2.直接把網頁關掉然後去睡覺(必須重新登入你的帳號才會失效)
: 3.之前Beanfun網站宣導的「關掉遊戲」
:
: 很不幸的是,這串參數還可以從「瀏覽器」取得
: 雖然傳說過程有加密不至於被攔截,不過到你的瀏覽器上也解密了
: (不然你看不到網頁)
:
: 如果直接插入一些腳本,讓瀏覽器把這串參數傳到別的地方....
: 外加瀏覽器傳輸資料也很正常,防火牆根本不會發現異常
:
: 以上,希望大家都能保護好自己的瑪奇帳號
:
--
如何嘴砲 反駁對方的重點──◢◣█確實指出人家論點的錯誤性 ψQSWEET
駁斥──────◢ ◣█用引言指出對方錯誤或矛盾的地方( █優質論文)
在嘴砲王 相反的觀點──◢████◣█上帝是存在的因為聖經上這麼寫( █ 辯論社)
應該出現 矛盾────◢██████◣█相對論是錯的因為我同學說的( ██論壇)
的元素 攻擊態度─◢████████◣█你腦羞生氣所以我贏了www ( ██匿名版)
人身攻擊↘偏見↗ ▄▄▄▄▄▄▄▄▄▄▄▄█國中生懂屁█幹你娘 (█ 小朋友)
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 175.181.120.248
→ WindSpread:大大你暗黑板上色不完全XD 逐行按下來會曝光 11/27 18:55
→ nfuyuu:每行都加很麻煩耶(喂 11/27 19:09
噓 adern9:抱歉 並沒有比較容易理解 11/28 03:06