Browsergame hacken?

[Brusko651]

Hey.

Folgende Situation: Wir machen in der Schule in Informatik momentan ein Browsergame. Also sozusagen als Projekt von der ganzen Klasse.

Ich will das Spiel wenn es fertig ist hacken damit ich gewinne.

Von Hacken hab ich nicht viel Ahnung.
Aber nachdem ich beim Programmieren dabei bin, denke ich, dass es eigentlich möglich sein sollte.

Also meine Frage: Was kann ich für Sicherheitslücken einbauen ohne dass der Lehrer es merkt, und wie kann ich sie ausnutzen?
(Wir machen das mit PHP und einer MySQL Datenbank)

thx, Brusko

 

[bog]

ganz einfach, du schreibst in die datei, die die ressourcen (sofern ihr sowas benutzt) in der datenbank updated eine if-anweisung, die als get-parameter einen nur dir bekannten string uebernimmt und dann eben die ressourcen des datenbankeintrags mit deinem namen (kannst du ebenso per get-parameter uebergeben) um einen gegebenen betrag inkrementiert. und shoop da woop all good.

 

[Brusko651]

Aber das merkt der Lehrer doch sofort wenn er den Code liest, oder?

 

[HERR 2FICKENDEHUNDE]

ich gaube nicht das dies besonders clever ist. in ein klassenprojekt irgendwelche hintertürchen einzubauen könnte unter umständen auch als manipulation betrachtet werden und dir eine menge ärger einhandeln.

 

[Brusko651]

nein nein, das geht schon in Ordnung

 

[aMrio]

wenns keiner merken soll wie willst du dann durch schummeln gewinnen? hast du nur vollidioten in der klasse die sich nicht wundern wenn du auf einmal mehr resourcen oder was auch immer hast als die anderen?

 

[bog]

Original geschrieben von Brusko652
Aber das merkt der Lehrer doch sofort wenn er den Code liest, oder?

na klar. wenn er das tut bleibt dir nur code obfuscation, und wenn ein lehrer sowas in ner klasse sieht, will er mit sicherheit nur noch genauer rausfinden, was da abgeht.
wie waers wenn du einfach die spielmechanik anschaust und dann legal reinrulst?

 

[Brusko651]

wenns keiner merken soll wie willst du dann durch schummeln gewinnen? hast du nur vollidioten in der klasse die sich nicht wundern wenn du auf einmal mehr resourcen oder was auch immer hast als die anderen?

Nur der Lehrer soll es nicht bemerken bis das Spiel online ist.

 

[drwilly]

Bau doch einfach ne SQL Injection Lücke ein.
Ich gehe einfach mal davon aus, dass das in einer Schulklasse keiner blickt. Wenn doch haste eh verloren :>

 

[Brusko651]

Klingt nice. Was ist das, wie funktioniert das?

edit:
achso, hab schon was dazu gefunden.
http://www.heise.de/security/Giftspritze--/artikel/43175/

das sollte doch eigentlich ziemlich einfach werden wenn ich den code kenne.

 

[IPSZeRo]

denke auch sql injection ist deine beste möglichkeit. Musst ja nichtmal was einbauen sondern nur etwas das davor schützen würde nicht einbauen.

 

[RRA^StArFiRe]

oder bau dir doch irgendwo in den code sowas wie...
ressourcen = $_GET['asdf']

merkt kein schwein bei unübersichtlichem code. dann kommste daher, schreibst einfach was in die url und BÄM biste der reichste.
oder auf welchem prinzip is das spiel aufgebaut?


sql injection??
ich glaube jeder noch so unbeholfene informatiklehrer, der sich mit php auseinandersetzt, kennt diese magic-quotes einstellung bei apache und php. (vor allem weils standardmäßig aktiviert ist)
deswegen werden eingaben mit ' oder " immer zu /' bzw /"

wenn man allerdings mit java bzw jsp oder servlets bastelt, ist das recht schnell geschehen, dass man die filterung mal übersieht und schwups kann man mit ";touch(dateiname) die ganzen files vom server fegen. oder sich eigene scripte versteckt anlegen.

 

[Picard]

oder knall dir einfach irgendwo ne scriptdatei hin, die einen beliebigen sql query ausführt und evtl ergebnisse ausführt.

oder halt nen pma wenn ihr das nicht sowieso schon zur administration nutzt (die chance ist groß, dass das nicht nach projektabschluss geschlossen wird)

bzgl magic_quotes: warte einfach bis die 6er php raus ist und produktiv auf eurem server eingesetzt wird. da kommen lustige zeiten auf uns zu