[Dakota]

Hej!
Jag har haft cirka 3 projekt på min sida, och alla gånger så har en spelare varit med och förstört. Nu är jag trött på honom, denna gång så har han helt utan att berätta hur/anmäla buggen lyckats få oändligt med poäng och det står att han har betygsatt cirka 60000 spel, när sidan inte ens har över 1500 spel i nuläget.

Han måste ha utnyttjat någon bugg/använt sig utav SQL injection, det är inte jag som har byggt systemet utan det är ett köpt script utav Av Scripts.

Jag undrar vad jag kan göra åt saken? Finns det något straff för det här? Eller får jag bara skylla mig själv och försöka hitta en lösning?

Att banna honom skulle verkligen inte fungera.

[ooskar]

Dataintrång är ju inte direkt lagligt, men hur vida någon orkar lägga ner resurser hos våran kära polismyndighet är en annan fråga...

[Dakota]

Citat:

Ursprungligen postat av ooskar

Dataintrång är ju inte direkt lagligt, men hur vida någon orkar lägga ner resurser hos våran kära polismyndighet är en annan fråga...

Det lite roliga, är att han vet att jag vet vem han är; Han är medlem på ett forum och samtidigt som han förstör på min sida, så skriver han flitigt där. Bland annat så vill han ha feedback på sin hemsida..

Jag har postat denna bugg i Av scripts customer-forum och kommer förhoppningsvis få en lösning på problemet, men han måste ju ha varit inne och kört otillåtna frågor i min databas på något sätt.

[emilv]

Jag har "förstört" spel på liknande vis genom att till exempel riva ett negativt antal byggnader, ta negativa lån som gav mig ränta från banken, läst andras PM på forum genom att bara ändra en siffra i adressfältet...

Är du säker på att det inte är något så simpelt? Har du ordentlig koll på indatat till ditt program?

[tartareandesire]

Det här har förmodligen skett hundratusentals gånger vid det här laget. Det du givetvis bör göra är att ha säker kod från start. Såvida du inte lidit någon större ekonomisk skada av det inträffade så är nog möjligheten till rättsliga åtgärder extremt små och knappast något som det är värt att lägga energi på heller.

[Dakota]

Tack för svaren!
Jag slapp extra arbete genom att använda mig utav en simpel sql fråga;

Kod:

DELETE FROM ava_ratings
WHERE user_id = '66';

Tack gode gud! 55666 rader blev raderade..

I alla fall. Jag fick faktiskt svar från honom, han skrev att han "-gjorde en bot som betygsätter alla spel med id från 1 till oändligt vilket ledde till ca. 50p per sekund."

Jag svarade att det bara är så onödigt, då svarade han "-Jag är nyfiken bara. Gillar att busa på internet.".

Jag svarade faktiskt nu att jag tycker att han ska ta och bli medlem här, och lära sig av andra, bli bättre och förverkliga sina drömmar. Han vill ju trots allt skapa sidor, göra javaspel etc. etc.

[Magnus_A]

Släpa inte hit honom för guds skull!

[Dakota]

Citat:

Ursprungligen postat av Magnus_A

Släpa inte hit honom för guds skull!

Redan för sent. :O
Han heter WASD.

Men, beter han sig som på fuska.se så kommer han bli avstängd direkt.

Nu vill jag inte göra en pajkastning mot någon, men jag tycker att som man bäddar får man ligga.

[rhdf]

Citat:

Ursprungligen postat av Menox

Tack för svaren!

I alla fall. Jag fick faktiskt svar från honom, han skrev att han "-gjorde en bot som betygsätter alla spel med id från 1 till oändligt vilket ledde till ca. 50p per sekund."

Med andra ord är inte koden du har särskilt säker
Har man poängsystem eller liknande inblandat på sin sida så måste man se till att göra dessa "bot-säkra". Tex så skall det ju inte vara möjligt att betygsätta spel som inte ens finns. Det är ju en grundläggande sak att sidan skall ge nån form av 404 om man anger ett ID som inte existerar, nu får man ju upp en som synes fullständig sida, fast utan spel om man går till http://crusadesage.se/index.php?task=view&id=999999999. Det enda som signalerar att spelet inte fanns är just sid-titeln

Man skall heller inte kunna betygsätta mer än tex 2 spel/minut eftersom det troligtvis är fysiskt omöjligt, eller iaf inte ett "normalt" beteende för en riktig besökare.

[Dakota]

Citat:

Ursprungligen postat av rhdf

Med andra ord är inte koden du har särskilt säker
Har man poängsystem eller liknande inblandat på sin sida så måste man se till att göra dessa "bot-säkra". Tex så skall det ju inte vara möjligt att betygsätta spel som inte ens finns. och man skall inte kunna betygsätta mer än tex 2 spel/minut eftersom det troligtvis är fysiskt omöjligt

Jag håller med verkligen med! Jag får ta och göra något åt detta, så snabbt som möjligt. Det bästa vore ju om Av script tar på sig sitt ansvar och fixar problemet, annars så får jag väl fixa det själv, på något sätt