- Katılım
- 23 Eki 2022
- Mesajlar
- 6,929
- Çözümler
- 12
- Tepkime puanı
- 4,340
- Puanları
- 113
- Yaş
- 28
ISTIRAP SOURCES PENTESTING raporu, Skyrusher tarafından paylaşılan kaynak kodlar üzerinde yapılan güvenlik analizini ve tespit edilen zafiyetleri içermektedir. Çalışma; Login & Game Source, Skill Sistemi, Stat Sistemi, TBL sistemleri, Item sistemi, EXP & Level sistemi ve ACS anti-cheat bileşenleri üzerinde gerçekleştirilmiştir.
Analiz sonucunda özellikle SQL Injection, hardcoded admin account, client-side güvene dayalı skill ve damage hesaplamaları, session güvenliği zayıflıkları, item duplication riskleri ve EXP overflow gibi kritik seviyede güvenlik açıkları tespit edilmiştir. Ayrıca socket veri doğrulama eksiklikleri, TBL dosyalarının client tarafında manipüle edilebilmesi ve process/memory koruma mekanizmalarının yetersizliği gibi orta ve düşük seviye riskler de raporlanmıştır.
Genel olarak sistemdeki en önemli problemler; güvenlik kontrollerinin client tarafına bırakılması, server-side doğrulama eksiklikleri ve kritik işlemlerde (item upgrade, skill damage, EXP hesaplama vb.) yeterli sunucu kontrol mekanizmasının bulunmamasıdır. Bu durum, exploit ve abuse saldırılarına açık bir yapı oluşturmaktadır.
Rapor, sistemin daha güvenli hale getirilmesi için SQL parametreli sorguların kullanılması, server-side doğrulama mekanizmalarının güçlendirilmesi, hash ve imza kontrollerinin eklenmesi, process/memory korumasının geliştirilmesi ve kritik oyun mekaniklerinin tamamen sunucu tarafına alınması gerektiğini vurgulamaktadır.
Analiz sonucunda özellikle SQL Injection, hardcoded admin account, client-side güvene dayalı skill ve damage hesaplamaları, session güvenliği zayıflıkları, item duplication riskleri ve EXP overflow gibi kritik seviyede güvenlik açıkları tespit edilmiştir. Ayrıca socket veri doğrulama eksiklikleri, TBL dosyalarının client tarafında manipüle edilebilmesi ve process/memory koruma mekanizmalarının yetersizliği gibi orta ve düşük seviye riskler de raporlanmıştır.
Genel olarak sistemdeki en önemli problemler; güvenlik kontrollerinin client tarafına bırakılması, server-side doğrulama eksiklikleri ve kritik işlemlerde (item upgrade, skill damage, EXP hesaplama vb.) yeterli sunucu kontrol mekanizmasının bulunmamasıdır. Bu durum, exploit ve abuse saldırılarına açık bir yapı oluşturmaktadır.
Rapor, sistemin daha güvenli hale getirilmesi için SQL parametreli sorguların kullanılması, server-side doğrulama mekanizmalarının güçlendirilmesi, hash ve imza kontrollerinin eklenmesi, process/memory korumasının geliştirilmesi ve kritik oyun mekaniklerinin tamamen sunucu tarafına alınması gerektiğini vurgulamaktadır.
İçeriği görüntülemek için Giriş yapın veya Kayıt olun.
