אתר מאמרים
מעגל הכותבים אתר מאמרים קהילתי
שלום אורח!
מאמרים » תוכנה » בדיקת אבטחת מידע במשחקי פלאש

בדיקת אבטחת מידע במשחקי פלאש

מחבר המאמר:
פורסם בקטגוריה: תוכנה
המאמר נקרא 800 פעמים
תאריך פרסום:
גרסת הדפסה | 0 תגובות
פורסם באתר Circle: אתר מאמרים קהילתי



במאמר זה ייבדקו מספר משחקים שמופיעים באתר נענע משחקים, אחד מאתרי משחקי הפלאש הגדולים בארץ.אין להשתמש בפירצות האבטחה המופיעות במאמר זה ובתגובותיו כדי לגרום כל נזק שהוא, מטרת מאמר זה היא אך ורק להסביר על אפשרויות תקיפה כדי לדעת להגן טוב יותר.

תחום הגנת המידע במשחקי פלאש נועד למנוע משחקן לרמות במשחק, החל מקבלת ניקוד גבוה בלוח התוצאות במרמה ועד קבלת כסף במרמה (במידה ובמשחק ניתן לשחק על כסף אמיתי).

המשחקים שנבדקו הם:משחק תוכנית הריאליטי ראש בקירמשחק תוכנית הריאליטי נקמת המחונניםמבחן IQ

בכל המשחקים שנבדקו נעשה שימוש ב-Packet Sniffer.Packet Sniffer זוהי תוכנה שמתממשקת למנהלי ההתקנים (Drivers) של כרטיסי הרשת במחשב ומציגה את הנתונים שנשלחים אל הרשת ומתקבלים מהרשת.לדוגמא אם נכנסת לאתר מסויים, אז תוכנת ה-Packet Sniffer תציג את הבקשה שנשלחה מהמחשב אל השרת שהאתר מאוחסן בו וגם את כל הנתונים (תוכן האתר) שהשרת שלח בחזרה אל המחשב.

מטרת השימוש ב-Packet Sniffer במאמר זה היא לנטר את כל התקשורת שמבוצעת בין משחק הפלאש אל הרשת (לדוגמא כדי לשלוח לאתר מסויים את תוצאת הניקוד של השחקן במשחק).

משחק ראשון: ראש בקירע"י הפעלת תוכנת ה-Packet Sniffer וכניסה לעמוד לוח התוצאות במשחק אפשר לזהות שהמשחק שולח בקשה לכתובת באינטרנט. המשחק שולח את הבקשה על מנת לקבל את רשימת בעלי הדירוגים הגבוהים ביותר כדי להציגם לשחקן.

בתום המשחק נשלחת עוד בקשה לשרת, הפעם כדי לשלוח לשרת את הניקוד של השחקן במשחק. יש בבקשה זו שני פרמטרים חשובים, הראשון הוא winname, שערכו הוא שם השחקן שיופיע בלוח התוצאות והשני הוא winscore שמכיל את הניקוד שיופיע בלוח התוצאות.לדוגמא: כדי שהשם "ויקטור חסון ובניו" יופיע בעמוד הראשון עם הניקוד 10,000,000 את הערך של winscore צריך לשנות ל-10000000 ואת NAME לשנות לשם "ויקטור חסון ובניו" אבל עם קידוד של Url Encoding.

משחק שני: נקמת המחונניםע"י שימוש ב-Packet Sniffer אפשר לזהות שבעת התחלת המשחק, נשלחת בקשה לאתר לקבלת קובץ מסויים.

לאחר פתיחת הקובץ בדפדפן אפשר לראות שהוא מכיל את כל השאלות במבנה XML, כאשר לכל שאלה מופיע גם מספר התשובה, לדוגמא:<correct>1</correct>

משחק שלישי: מבחן IQגם במשחק זה השאלות מתקבלות מקובץ XML חיצוני ביחד עם התשובות.

התשובות נמצאות בתוך ans (קיצור ל-answer), לדוגמא:ans="א"

סיכוני אבטחת מידע שקיימים במשחקי פלאשאפליקציות פלאש משתמשות בפורמט SWF.פורמט SWF הוא פורמט שהמבנה שלו ידוע ולכן אפשר להגיע לכל הנתונים שבתוכו כולל לקוד ה-ActionScript,קיימות תוכנות הצפנה בשוק שמטרתן לערבל את הנתונים בתוך קובץ ה-SWF ולהקשות על הפיענוח שלהם.כמו כן, קיימות תוכנות פיענוח בשוק שמטרתן להציג את הנתונים בתוך קובץ ה-SWF, גם אם הוא מוצפן.

מטרות הפריצה האפשריות שונות בין משחק למשחק, לדוגמא:א. קפיצה אוטומטמית לשלב האחרון במשחקב. מקום ראשון בטבלת הניקוד של המשחקג. זכייה בפרסיםד. זכייה בכסף במידה וניתן להמר במשחק

מעבר לפריצה למשחק לשם קבלת הטבה שקשורה למשחק הספיציפי,ייתכן ומשחק הפלאש יתקשר עם קטע קוד בצד השרת, לדוגמא בשביל לשלוח את הניקוד של השחקן בתום המשחק.מאחר וקטע הקוד הזה חסוי (או כך לפחות מי שכתב אותו חושב) אז לא בטוח שיושמו בו טכניקות אבטחת מידע (כמו מניעה של SQL Injections)משחק הפלאש משתמש בפורמט SWF שידוע לכל וגם מתקשר עם קטע הקוד בשרת ולכן אפשר להגיע לקטע הקוד במשחק הפלאש שמתקשר עם השרת, הבנה שלו ולאחר מכן שליחת נתונים לקוד בשרת שלא הייתה ציפייה להם (לדוגמא בשדה הניקוד לשלוח מחרוזת).במידה וטכניקות אבטחת מידע לא יושמו בקטע הקוד של המשחק בשרת אז הסבירות שאפשר לפרוץ אותו גבוהה ולאחר מכן לפרוץ לשרת, לרשת בה הוא נמצא ולהתקין סוס טרויאני.

סיכוםמשחק פלאש הוא תוכנת מחשב ובכל תוכנה קיימות פירצות אבטחה. מכיוון שפלאש היא טכנולוגיית צד-לקוח אז כל מנגנון ההגנה (אם קיים) יהיה בתוך קובץ ה-SWF שנמצא במחשב של המשתמש ולכן כבר מהווה חצי מהדרך לפורץ. אפשר להשוות זאת למשל לכך שהכספת של הבנק נמצאת אצלנו בבית וכל מה שנשאר זה לפרוץ אותה (מאשר אם הייתה בתוך הבנק, מוקפת במצלמות ובשומרים).

אפשר להקשות על הפורץ ע"י שימוש בטכניקות שונות, להלן מספר טכניקות שמסודרות ע"פ רמת קושי, מהקל אל הקשה, ככל שיותר טכניקות הגנה ייושמו כך לפורץ יהיה קשה יותר והסיכוי שיתייאש במהלך ניסיון הפריצה גדל.

א. הצפנת קובץ ה-SWF ע"י שימוש באחת מתוכנות ההצפנה הנמכרות בשוקב. הצפנה של כל הנתונים הנשלחים מתוך קובץ ה-SWF אל הרשת וגם כל הנתונים המתקבלים מהרשתג. שליחת נתונים פרטיים לקובץ SWF מהשרת רק כאשר קובץ ה-SWF צריך להשתמש בהם, לדוגמא: לא לשלוח את רשימת התשובות למשחק הטריוויה לפני שהמשחק מתחיל, אלא רק בסוף כשהמשחק מסתייםד. העברת לוגיקת המשחק לשרת, כך שכל פעולה שהשחקן מבצע תיבדק בשרת האם היא תקינה והאם יכלה להתבצע, במידה ולא אז או שמדובר בבאג או שהשחקן מנסה לרמותד. קבלת נתונים שמוגדרים חשובים משרת באינטרנט וללא שמירה שלהם בתוך קובץ ה-SWF ובשרת בדיקה שכתובת ה-IP של הגולש שמבצעת את הבקשה נמצאת בעמוד האתר בו מוצג קובץ הפלאשה. הצפנת קובץ ה-SWF בטכניקה שונה מהטכניקות של תוכנות ההצפנה הנמכרות בשוק ע"י כתיבת כלי הצפנה ייעודי ולכן כדי להגיע לקוד בקובץ ה-SWF יהיה צריך לכתוב כלי פיענוח ייעודי


אודות מחבר המאמר:

המאמר נכתב ע"י אלעד כהן - מתכנת פלאש בחברת GAME DEV LTD (גיימדב בע"מ) העוסקת בפיתוח אפליקציות לפייסבוק, פיתוח אפליקציות לאייפון ופיתוח משחקי מחשב.


דירוג המאמר: לא דורג עדיין

תגובות למאמר בדיקת אבטחת מידע במשחקי פלאש תגובות למאמר בדיקת אבטחת מידע במשחקי פלאש

עד כה לא נרשמו כל תגובות למאמר בדיקת אבטחת מידע במשחקי פלאש. רוצה להיות הראשון?

הוספת תגובה חדשה


שם מלא:


כתובת דוא"ל:


תוכן התגובה

הקלידו את הקוד שבתמונה

Visual CAPTCHA


מאמרים נוספים בנושא תוכנה

למה כדאי לך ללמוד שפת C?
ניהול תזרים מזומנים
בדיקות תוכנה, QA ומה שביניהם
פיתוח אפליקציות לאנדרואיד
תוכנת תיווך
מערכת בדיקה אופטית מבוססת עיבוד תמונה לזיהוי פגמים בייצור יריעות
מודעות דרושים JAVA למשרות הייטק
מי צריך קופה רושמת?
על איחזור מידע בתוכנה להנהלת חשבונות
על קלות התנועה (נוויגציה) בתוכנה להנהלת חשבונות
שירותים אשר ניתן לקבל באמצעות מיקור חוץ
מערכת ראייה ממוחשבת בענף המזון המעובד
פתרונות מחשוב
תקנות חישוב שטחים
חישוב שטחים

הנך נמצא כאן: בדיקת אבטחת מידע במשחקי פלאש.

פרסם את מאמריך באתר! פרסם את מאמריך באתר!
תהנה מחשיפה מקצועית בחינם ואפשר לאלפי גולשים פוטנציאליים להיחשף לדעותיך.
פרסם מאמר.
דרושים בתחום הכתיבה | תנאי שימוש ומדיניות פרטיות | תוכן המפרסמים באתר מופץ ברשיון ייחוס-איסור יצירות נגזרות של Creative Common License.
כל הזכויות שמורות © Circle.co.il 2009-2012 - מאמרים להפצה חופשית מאת מעגל הכותבים.