Скажу сразу-взломать игру Жуки.Mail.ru не получится, и даже если можно было бы взломать эту игру, смысла взлома нету-последствия взлома админ устранит легко.
В этой статье рассмотрим на уровне "для новичков", как выглядел бы взлом, если бы взломать было можно.
Кто не в теме, обычно отвечают на такие вопросы на форумах, "как взломать игру Zhuki@MAil.Ru", что для взлома любой игры подойдет какая нибудь универсальная программа редактирования состояния игрового аккаунта, однако это не так-аккаунты онлайн-игр такими утилитами не взломать-характеристики аккаунта хранятся на серверах игры, и даже если на вашем экране можно добиться фиктивного миллиона на счету, реально вы богаче не станете.
Есть три пути взлома игры:
-прямой доступ к базе игры;
-взлом аккаунта игрока;
-взлом записи админа.
Данные о каждом игроке хранятся в базе данных, внеся измения для своей записи, можно изменить состояние своей игровой записи.
Часто доступ к базе можно получить из браузера, используя так называемые SQL-инъекции, ошибки в коде страницы, открывающие служебный канал.
Иногда так бывает-гуляя по страницам какого-нибудь сайта вдруг натыкаешься на страницу с малопонятным текстом типа: "access dined" или "You have an error in your SQL syntax". Это как раз пример таких случаев, когда, может быть, имеется возможность "взлома" базы, точный ответ можно дать после внимательного изучения каждого такого случая.
Так что если на странице жуков увидишь такую страницу-читай материалы в инете по теме "SQL-инъекции" и если подтвердится, что страница отзывается на SQL команды-тебе улыбнулась удача.
Можешь поискать инъекции на жуках, это не безнадежно, почитав леписи, можешь встретить упоминания о том, что когда-то кто-то успешно использовал подобный метод для взлома базы данных (а админы все незаконно присвоенное отобрали, конечно).
Подобные дыры админами, как правило очень быстро прикрываются, такие дыры долго не живут. Появляются они, как правило, ввиду срочных сроков выпуска сайта или изменений на сайте, когда пограммисты спешат реализовать функционал, а вопросы безопасности, ввиду горячих сроков, отходят на второй план и ими жертвуют.
Так что при очередных масштабных измениях на проекте спеши проанализировать внесенные в сайте измения на предмет присутствия еще незалатанных дыр, смотрите новые скрипты.
Меняйте ссылки адресной строки, выставляя параметрами чересчур большие числа, отрицательные цифры, пробуйте вставить в параметры скрипта набор букв вместо чисел, используйете параметрами апостроф, кавычки. Как только на странице появляются служебные сообщения, явно имеющие осмысленный, но посторонний характер-внимательно изучайте этот результат, есть много хороших статей на эту тему. Даже если вставить в поисковую машину полученный текст, можно встретить статьи с конкретными указаниями по данной уязвимости. В инете много материалов на тему "SQL-инъекции", имея на руках найденную уязвимость, попробуйте найти ответ, как уязвимость позволяет отредактировать атрибуты записи вашего игрового акаунта.
Если на жуках нам сейчас ничего не светит, админы все прикрыли, на примере смежного свежего проекта покажу пример на эту тему:
посмотри в результатах поиска http://www.google.ru/search?hl=ru&q=site%3Adrive.mail.ru+mysql&lr= страницу http://209.85.135.104/search?q=cache:BS0VfHd_nF4J:drive.mail.ru/info/forums/index.php%3Fshowtopic%3D264%26pid%3D1429%26mode%3Dthreaded%26show%3D%26st%3D%26+site:drive.mail.ru+mysql&hl=ru&gl=ru&ct=clnk&cd=2 INSERT INTO ibf_sessions (id,member_name,member_id,member_group,login_type,running_time,ip_address,browser,location,in_error,location_1_type,location_1_id,location_2_type,location_2_id,location_3_type,location_3_id)
Здесь раскрывается служебная инфа, не предназначенная для постороннего глаза-имена баз данных и их структура.
Вот подобного рода страницы и используются для прямого доступа к базе.
Информация-всего лишь информация, дается вам для ознакомления, как вы ей воспользуетесь-зависит целиком от вас, и последствия от ее использования могут оказаться и не такими, как вы ожидаете.
Взлом игры Жуки.Mail.ru
Прямой доступ к базе.
