私の友人が私のウェブサイト用のフラッシュゲームを作りました。ゲームは、$ _POST['points']のポイントを使用して/game/p00ints.phpにリクエストを送信します。
しかし、ハッカーは私が推測するより多くのポイントを取得する方法を簡単に見つけることができるので、私の友人または私はこのセキュリティホールをどのように修正できますか?
よろしくお願いします、
エリック・パーション
2 に答える
1
これを修正する方法は、すべてのポイント計算をサーバーに置き、クライアントに生の入力を送信させることです (たとえば、左矢印キーを 1 秒間押し続ける、Enter キーを押す、マウスの左ボタンを 2 秒間押し続けるなど)。それでも、攻撃者はフラッシュ クライアントをバイパスするボットを作成できます (ただし、ボットは生の入力を送信する必要があります)。これを実装するのが複雑であることは理解していますが、これが最も安全なソリューションだと思います。
フラッシュ ファイルに秘密鍵を追加するだけで、カジュアル ゲームの障害になる場合があります。ただし、誰かが SWF を簡単に逆コンパイルできるため、実際のセキュリティは提供されません。
于 2010-05-02T22:17:57.957 に答える
1
簡単な解決策 - 2 番目のパラメーターとしてチェックサムを追加します (例: md5("secretword"+md5(points)))。それはハッカーの生活を困難にし、うまくいけば彼らは気にしないでしょう.
フラッシュは逆コンパイルできるため、絶対的な 100% 安全なソリューションはないと思います。
于 2010-05-02T22:19:52.080 に答える