+- JeuWeb - Crée ton jeu par navigateur (https://jeuweb.org)
+-- Forum : Discussions, Aide, Ressources... (https://jeuweb.org/forumdisplay.php?fid=38)
+--- Forum : Communauté, communication, marketing (https://jeuweb.org/forumdisplay.php?fid=49)
+--- Sujet : Que pensez vous de la découverte de faille ? (/showthread.php?tid=1620)
RE: Que pensez vous de la découverte de faille ? - Argorate - 22-08-2007
joshua a écrit :Tout comme Séphi. Les joueurs honnetes, c'est rare.....
alors là, vous croyez pas si bien dire... tres peu de gens choississe la noblesse face a la facilité.
sinon pour se pb, il faut absolument convincre l'admin de réparé ça... c'est pas tolerable, imagine que d'autres joueurs plus idiot profite deja du bug!?
je suis pour le fair play et là c'est pas bien partie ^^
RE: Que pensez vous de la découverte de faille ? - uriak - 22-08-2007
Au fait, ça signifie quoi une faille causée par un hidden ?
RE: Que pensez vous de la découverte de faille ? - pascal - 22-08-2007
uriak a écrit :Au fait, ça signifie quoi une faille causée par un hidden ?
ça signifie que des données sont envoyées via un champ input de type hidden, un champ caché, et que ces données ne sont pas vérifiées.
dommage pour l'admin du jeu! :p
A+
Pascal
RE: Que pensez vous de la découverte de faille ? - MaGIKeR - 22-08-2007
En faite uriak, pour créé/detruire les troupes (dans son jeux) ont passe par un formulaire qui nous demande ce qu'on veut créé et combien on veux en créé.
Donc lui pour savoir combien coute un batiment, ils affiche sont cout en Hidden ( hidden c'est un champs de formulaire invisible prérempli (mwé))..
Donc il suffit de copier/collet le code source de la page - changer le form pour qu'il pointe vers son site suffit de rajouter l'adresse de la page d'accueil devant - puis de changer les nombre qui determine le cout.
Exemple :
Pour la page des créature il faut mettre ca :
<INPUT TYPE=hidden NAME=OCost VALUE=0>
<INPUT TYPE=hidden NAME=DCost VALUE=0>
<INPUT TYPE=hidden NAME=ECost VALUE=0>
<INPUT TYPE=hidden NAME=MCost VALUE=0>
Pour les batiment ca :
<INPUT TYPE=hidden NAME=BCost VALUE=0> (pour le cout de construction)
<INPUT TYPE=hidden NAME=RCost VALUE=0> (pour le cout de destruction)
Et la le cout des créatures/batiments devient 0 or. C'est quand même grave pour un jeu php et pour une manip qui me prend 1 minute.
Je vous feré un copier/coller du MP que je lui est envoyer en juillet avec sa reponse
, cela explique mieu.
RE: Que pensez vous de la découverte de faille ? - Nodark - 22-08-2007
J'en connais un qui va se ronger les ongles de remord
RE: Que pensez vous de la découverte de faille ? - MaGIKeR - 22-08-2007
Voici le premier Mp que je lui est envoyer le 17/07/07, je coupe le début qui n'est pas intéressant :
Citation :Voulant vérifier ( pas pour exploiter le bug, parce que je pourrais garder cela pour moi ^^ ), je me suis créé un compte. Ben voila le résultat est impressionant ! J'arrive à entrainer des troupes ou construire des bâtiments pour le coût que je veux ! Je t'explique comment, en prenant l'exemple pour les troupes :
La personne qui veut tricher copie/colle le code source du formulaire, il le lance avec easyphp par exemple en transformant quelque INPUT.
Cela revient à créer les unites pour 0 or.Code :<INPUT TYPE=hidden NAME=OCost VALUE=0>
<INPUT TYPE=hidden NAME=DCost VALUE=0>
<INPUT TYPE=hidden NAME=ECost VALUE=0>
<INPUT TYPE=hidden NAME=MCost VALUE=0>
Pareil pour les bâtiments,
Donne des coûts de construction et de destruction de 0.Code :<INPUT TYPE=hidden NAME=BCost VALUE=0>
<INPUT TYPE=hidden NAME=RCost VALUE=0>
Après tout ces changements, ta bdd prend toujours en compte les parametres normal, elle affiche toujours les coût de construction pour 805 po ....
Le compte avec le quel j'ai fais ces tests est trinita ( Clé - 633 ), je vais essayé de voir si on peut contourné la limite de "Terrain constructible" .... Je te tien au courant.
Ne prend pas ceci comme de la triche/hack, prend ceci comme de l'aide( au cas ou ^^ )
A bientot.
Voici ca première réponse :
Citation :C'est pas un bug c'est toi qui abuse du jeu. Je suis tout à fait conscient des possibilités que permettent les Hidden dans les formulaires et je m'en contrebalance totalement, faut des compétences non nulles en PHP pour les utiliser à des fins détournées.Et voici sa deuxième juste après :
Donc concrètement, non je ne corrigerais rien, et non je ne vais pas te remercier pour avoir piraté le jeu. Je ne comprends même pas ton intérêt à tricher à un jeu où il n'y a rien à gagner.
Citation :Et
Citation :Ne prend pas ceci comme de la triche/hack, prend ceci comme de l'aideJe prend donc bien évidemment ceci comme de la triche et du hack, et absolument pas comme de l'aide.
En tout cas les données du hidden ne sont pas des constantes puis ce que les coût des batiments varie en fonction de quelque chose (je ne sais pas quoi) donc s'est calcul il doit bien les faire à un moment pour les mettre en hidden, il ferait mieu de faire ses calculs sur la page suivante.
A vous de vous amusez, il a été prévenu des dangers, il n'a pas écouté, tempi pour lui.
RE: Que pensez vous de la découverte de faille ? - P0ulp0r - 22-08-2007
C'est quand meme fort ca, il crée un jeu et s'en contrefou qu'il peut y avoir des failles qui déséquilibreront le jeu oO'
Alala ^^
RE: Que pensez vous de la découverte de faille ? - uriak - 22-08-2007
OK, merci, j'avais pas envisagé que les gens puissent jouer sur les values hidden des forms, mais de toute façon j'ai prévu de base une validation avant toute action côté serveur ^^
RE: Que pensez vous de la découverte de faille ? - Globe - 22-08-2007
On lui pourrie son jeu en trichant tous et en dégommant les autres ?
RE: Que pensez vous de la découverte de faille ? - Sephi-Chan - 22-08-2007
Télécharge l'extension Web Developer de Firefox et tu cerneras rapidement les limites des formulaires.
Il existe le même genre de faiblesse sur les listes de sélections, dont tu peux modifier la propriété value.
En bref tu trouveras plein de détails, mais chez nous, les détails font les failles !
Sephi-Chan, pas mal la rime, hein ?