三端XO引擎如何部署安全防御?解决删库,注入等问题!-35博客圈 三端XO引擎如何部署安全防御?解决删库,注入等问题! - 35博客圈
手游教程 手游教程 关注:256 内容:1179

三端XO引擎如何部署安全防御?解决删库,注入等问题!

  • 查看作者
  • 打赏作者
  • 当前位置: 35博客圈 > 手游交流 > 手游教程 > 正文
    • 10
    • 手游教程
    • LV12
      vip3
      admin

      XO引擎目前是免费(破解版)支持平滑模式的传奇三端引擎之一,个人感觉还是不错的,支持的功能也多一点,

      不过目前已知的安全问题还是有几处的,下面说个大概解决方法,推荐每个版本都部署一遍!

      一:远程删库:

      通过客户端登录和注册输入相关代码会删除数据库表,

      解决方法参考这个教程:https://35boke.com/7136.html

      二:sql注入漏洞:

      XO引擎php更新文件存在SQL注入漏洞,利用此漏洞可完全控制数据库进行一系列操作,如(刷装备,刷元宝,删账号,删数据库等等)条件允许的情况下还能获取服务器权限。

      修复教程看这里:https://35boke.com/6577.html

      三:远程格盘:

      这个还不知道是否属于引擎漏洞造成的,大概猜测应该是木马病毒造成的

      四:服务器安装防护软件:

      比如火绒安全,它会拦截一些远控等操作,保护我们服务器的安全!

      三端XO引擎如何部署安全防御?解决删库,注入等问题!

      大概教程先写到这里,后面有了再补充!

      LV1

      收藏了

      回复
      LV4
      水晶之恋

      把小皮端口全改了和数据库端口改了在买个安全盾基本没事

      扫码付款后备注你们的Q来意和买的什么对应的东西

    • 35博主好像是的
      拉黑 4星期前 电脑端回复
    • Gkkm2最近你也注意身体啊外面的毒株变异了
      拉黑 4星期前 电脑端回复
    • 35博主@Gkkm2 好的,二次阳了身体怎么样了?
      拉黑 3星期前 手机端回复
    • 回复

      感谢收藏了

      回复
      666
      回复

      其实就是数据库权限问题,不要用root直接访问

      单独每个数据库创建一个只读或者只能读写的普通账号,每个账号互相独立,就可以做到防删了

      但是刷元宝刷装备估计还是不行,因为m2需要有写入/更新权限,而客户端注入是直接通过注入代码获取角色库的账号和密码,所以你给m2什么权限,黑客就能获取到什么权限

      解决办法是账号权限里给角色库和账号库指定可访问IP,如果数据库在本机就只允许本机访问,这样对方即使通过漏洞获取你的密码,远程也不能登录,但是能不能通过代码注入直接执行修改,本人存疑

      php那个其实都算不上漏洞,因为php里面的账号只需要只读权限,而且内容也都是公告和服务器ip,根本没有必要搞什么防注入



    • 35博主其实使用sq3数据库应该没问题
      拉黑 1星期前 手机端回复
    • 何必? @35博主 维护相对麻烦太多了,尤其XO居然不支持sqlite3的数据热更,必须重启才能改数据,这种也就单机玩适合用
      拉黑 6天前 电脑端回复
    • 回复
      创建和谐社区,请勿发布无意义内容,获取金币请看右边的指南 [金币获取指南]

      请登录之后再进行评论

      登录
    • 圈子
    • 任务
    • 管理
    • 皮肤
    • 回底部
    • 帖子间隔 侧栏位置: