Jarvis7 Oct 14 2017 at 04:11

История взлома всех игр в Telegram

14 min

198K

Information Security*PHP*Python*JavaScript*API*

+24

Comments 29

Fen1kz Oct 14 2017 at 16:07

У меня есть онлайн настолка, там хоть и нет лидербордов, но можете поковырять на предмет преимуществ над другими игроками :)

Зато следующую игру я планирую писать без серверной части, жалко что никто не смог защититься. Может вообще не делать онлайновый лидерборд?

Jarvis7 Oct 16 2017 at 18:38

это скорее текстовый квест, чем игра, причем серверный) квестов в тг тоже много

Fen1kz Oct 17 2017 at 20:33

Ну как, там карточки же, существа, всякое такое… По крайней мере если проигрываешь, то игру подвесить точно можно

VovanZ Oct 14 2017 at 17:47

История взлома всех игр в Telegram

Достаточно очевидно, что если вся игровая механика реализована на клиенте, а на сервер отправляются только результаты, то можно отправить на сервер любые результаты. Так что я бы не назвал это "взломом" :)
Обфускация исходников и формата запросов — не панацея, обход — только вопрос времени.

История взлома всех игр в Telegram

В Telegram больше нет игр, кроме тех, что перечислены в статье? А если найду?

Jarvis7 Oct 16 2017 at 18:43

Проблема в том, что таких игр 98% среди всех. Об этом стоило написать, что бы разрабы начали переносить хоть часть логики на бекенд. Взломом можно назвать общую массу игр, если за 2-3 дня смог перебрать все популярные игры. И игры для рассмотрения брались из многих источников, в том числе и из games.tlgrm.ru. Если какую то игру не рассмотрел, то она либо типична по решению, либо не популярна.

Sovigod Oct 14 2017 at 21:18

Всех игр? Добро пожаловать: @ChatWarsBot

-3

Andrey_Volk Oct 15 2017 at 01:00

Что за нелепая попытка самопиара? Очевидно, что речь про html5 игры, которые взламывать — как щелкать орехи.

-1

Jarvis7 Oct 16 2017 at 18:44

Гм, вперед! Поломай «Tricky Foxy», гений, и выйди на первое место. И попробуй это сделать не подсматривая в статью.

Jarvis7 Oct 16 2017 at 18:56

Это текстовый квест сделанный через бота. В текущую тему не очень вписывается

Sly_tom_cat Oct 14 2017 at 21:39

Ну да — классика подхода security by obscurity

-1

muhammad_97 Oct 15 2017 at 05:33

*security through obscurity

Sly_tom_cat Oct 15 2017 at 09:12

И так и так пишут т.к. по смыслу это эквивалентные фразы.

Jarvis7 Oct 16 2017 at 18:46

Вы не правы. Чем более популярна игра, тем более высокая должна быть безопасность игры. Когда в игру играют сотнями в чатах, десятками тысяч (если есть scoreboard), то какая разница, где реализованна логика, если ты на первом месте?

lxsmkv Oct 15 2017 at 00:05

чем хороши статьи про ботов, что все эти методы можно применять и для автоматизированного тестирования в случае если нет другого инструмента.

BoberMod Oct 15 2017 at 02:36

gameeUI.saveScore(some_score)

Можно еще воспользоваться этим:
GameeWeb.updateScore(1337)
Прописывать в момент смерти.

Jarvis7 Oct 16 2017 at 18:52

как момент смерти отлавливать будешь?

BoberMod Oct 16 2017 at 20:52

В принципе, его можно программно не отлавливать. Сделать любое движение, которое приведет к смерти и ~перед смертью выполнить команду
i.imgur.com/s49SVIr.gifv

Jarvis7 Oct 16 2017 at 21:17

можно, но зачем усложнять?)

mcfev Oct 15 2017 at 02:37

Для игр из бота @gamebot (дровосек и математический батл) есть способ еще проще. Открыть исходный код программы, найти «random» и поменять на любое число, сохранить. В итоге получится, что в дровосеке деревья появляются только с одной стороны, а примеры, которые надо решить — одинаковые. В игре Corsairs (от того же бота), найти «bulletSpeed» и поменять стартовую константу в 130 и ту строчку, где она увеличивается на 1.1. С остальными платформами не пробовал, из @gamebot одни из первых игры были. Сложнее подобрать красивое число, 777 например (вот здесь есть доказательство @gamestion (не реклама, и группу нашел совершенно случайно)).

xndr Oct 15 2017 at 17:51

Круто! Есть чем перед девчонками похвастаться!

Jarvis7 Oct 16 2017 at 18:48

Особенно если эта девочка HR

devalone Oct 16 2017 at 02:55

Чит для дровосека: открываем консоль, вводим Math.random = function() { return 0.5; } и рубим ветки с одной стороны
Для кораблика: опять же в консоли function fixBulletSpeed() { bulletSpeed = 1; setTimeout(fixBulletSpeed, 1); }; fixBulletSpeed(); уворачиваемся, как нео, от снарядов.
Правда результаты на сервер не отправлял, т.к. меня забанили после наглой попытки послать curl'ом такой же запрос, подменив Highscore на 1000000

devalone Oct 16 2017 at 03:07

P.S. первый чит также работает для math battle. Вот улучшенная модификация:

Math.random = function() { return 0.5; }; function clicker() { document.getElementById('button_wrong').click(); setTimeout(clicker, 100); }; clicker();

Возможно у вас надо будет жать другую кнопку.

Jarvis7 Oct 16 2017 at 18:49

Найс)

IPRIR Oct 16 2017 at 17:38

Очень приятно увидеть плоды своих трудов в этой статье. (tricky foxy)

Jarvis7 Oct 16 2017 at 18:50

Сам разраб Лисицы оценил, спасибо!)

Jarvis7 Oct 16 2017 at 18:51

Вот по примеру его игры нужно строить фронт енд логику

Fen1kz Oct 17 2017 at 20:33

А зачем, если вы все равно его взломали?

Jarvis7 Oct 17 2017 at 22:41

Потому что делал это долго, сделать это было проблематично, и большинство людей просто не станет так сильно заморачиваться. И взломал, потому что был баг в работе сервера. Если бы не он, было бы все намного сложнее. И я был первым, кто нашел этот баг среди 100к людей, и второй среди тех, кто когда либо ломал эту игру. Так что это говорит о прекрасно проделанной работе одного разработчика.

Show the best of all time