無限體力的漏洞在哪裡？

版上又有在討論無限體力，我也湊個熱鬧，猜想一下無限體力的漏洞會出現在哪裡(假如真有的話)。

1. 利用手機和server的時間差做成server錯誤計算最新體力。單改手機時間早已知是不可行，但是否還有漏洞，導致這個時間差計算被server接納？
2. 有某些關卡不用體力，當然那些關卡帶有別的限制，例如12宮要碎片等，新手關不可再戰等。但是否可以用別的方法激活關卡？是否還有別的隱藏關卡？
3. 用魔法石、獎賞等可以回復體力，但那個http request是否有漏洞，可以不扣石或重覆使用？
4. 是否還有隱藏參數(例如debug flag)可以無限戰鬥？
5. ....其他...還沒想到出來。

mylover80 發表於 2014-8-18 09:48
之前看漏了以上的回貼，現在補充。
無限復活的思路稍為不同，因為戰鬥時的生命力是不會儲存在server上的， ...

我本來也想說免石復活這塊，但這個在上次被封了想說應該不用討論了XD

當時發現漏洞透過免石復活，解鎖當時地獄級的人工偵測，


真的漏洞無所不在。

7.~~~不告訴你~是吧XD

我覺得是4。神魔之塔4.62版本無限復活也是用這個bug，官方未必完全改掉

之前看漏了以上的回貼，現在補充。
無限復活的思路稍為不同，因為戰鬥時的生命力是不會儲存在server上的，全部都是遊戲端自給自足，所以才給人有機可乘，繞過server而只在遊戲端回復生命力。
由於體力是永存在server內，所以這個繞過server的option我沒有列出來。當然，我也說過不能排除任何的可能性，但這類繞過server的方法還是有待研究。

1.  根據我的多年經驗，寫程式和測試的人員都經常會犯上一個錯誤，那就是"想當然"。特別是當時間緊迫，資源不足的時候，都只會考慮"應有的功能"，而忽略"不應有的功能"。所以除非作實際測試，否則不應排除任何可能性。

2.  Hack入server是強盜行為，絕不在這討論範圍之內 (因為我只幹偷雞摸狗的事)。

以我自己的設計觀點, 只要牽涉到體力或魔法石 基本上應該都是要以伺服器端的紀錄為主

1.Server端的紀錄時間與用戶端不一致? 以Server端為主並強制用戶端斷線重登  : 無解
2.0體力關卡:以Server端紀錄本日玩家是否已經觸發,若有flag=1(一日關卡原理相同),碎片數同樣存放在Server上,使用一次超級就扣10塊碎片,想再重送,碎片不足,若有判定以外的條件產生:仍是以Server端為主並強制用戶端斷線重登: 無解
3.送https request,既然就是一種request, 等於就是要server response, server一定是處理好request之後才response, 你請求消耗一顆石頭, server一定是檢查你的紀錄並消除一顆之後才回應
, 有可能設計出request增加一顆石頭或上筆要求取消這種程式設計嗎? 如果有才是漏洞, 但如果你是寫程式的怎麼可能寫這種語法?
4.用戶端的每一場戰鬥一定都有一筆token或record在伺服器上,用來判定玩家玩的時間, 無限戰鬥是用相同的token? 如果是, 第一場token送出後處理完token就銷毀了, 接下來的無限次相同token只會被判定為不合理, 同樣強制斷線重登, 假定找出token算法, 除非你可以寫入伺服器將這些token放進伺服器, 不然戰鬥送出結果後, 這些不存在的token一樣被drop掉, 一樣斷線重登

結論: 想從用戶端找漏洞是不可能的, 除非你有辦法駭進官方伺服器, 到時你想變甚麼大神主宰都可以

我看以後連魔法石都可以改了

不過這些都是堤外話，真的想要練的這麼純熟，
那些人一定不會這麼無聊來針對一款遊戲投下這麼大量的時間吧。
早利用自己的專業賺了一大筆錢了。

賺錢和樂趣，是兩種不同的動力，但同樣可以令人投入時間和精力。
而且這個遊戲的封鎖只能算是小學程度，解鎖其實不用太花時間，很適合作為一種訓練，以便應付日後出現難度更高的新作品。

                               
登錄/註冊後可看大圖

遊戲本身就藏著漏洞，就是我們口中所說的BUG，
沒有一款遊戲是十全十美真的可以百分之一百擋掉，
或是修復這修漏洞，如果不能把漏洞修補，
最多也只能做到『隱藏漏洞』這一塊，
那在這一塊就只能考驗個人的技術、觀念、變通了。
不過這些都是堤外話，真的想要練的這麼純熟，
那些人一定不會這麼無聊來針對一款遊戲投下這麼大量的時間吧。
早利用自己的專業賺了一大筆錢了。

所以在我看來，目前都還是天方夜譚...

                               
登錄/註冊後可看大圖

由 手機網頁 發佈

我說錯了，是3才對