|
|
当我们第一次听客户反应有人可以用命令跟玩家强行交易时,第一感觉就是,一定是翎风的M2又出什么漏洞了。
具体了解了一下过程,重点集中在了两上奇怪的命令上,@startbuy @sellmode 最后查出漏洞的根源,发布给大家,请客户及时把漏洞补上。 dedecms.com
1 漏洞的来源:
LF自7.15的M2后,加上了拍卖系统,增加两个命令"@startbuy"和"@sellmode",可是有个命令却使用权限只是0,这就是说玩家也可以用.虽然本来就是为玩家准备的.可是LF却一直没有公布这2个命令.要是被人恶意搞坏的话.后果会一片混乱噢.. dedecms.com
2 漏洞的用法:
假如我现在想骗玩家的装备,准备一些网币,然后占在一个玩家的对面,打上命令@startbuy游戏里没有什么反应和提示的话,说明这个命令生效,正常如果打错了会在中出现红字,提示你没有什么权限之类的。
然后多半是骗对方我知道一个刷钱的命令,让对方打上@sellmode命令,这时我就会出现对方的物品栏,对方的仓库里的东西你就可以象在商店买东西一样买到身上。
3 解决方法:
找到里 d:/mirserver/mir200/Command.ini配置文本
找到这两个命令然后改名即可.
SellMode=SellMode ->改成 SellMode=SellMode23213123
StartBuy=StartBuy ->改成 StartBuy=StartBuy2134213
改成 只要不让玩家能猜到就行。
本文来自织梦 |
上一篇:一机双服教程详细架设过程下一篇:最新DB数据库大全详细说明(改属性必看)
|
发表于 2022-4-21 01:22:46
变色卡