홈 > 운영센터 > 신고/건의
신고/건의

개집하이로우 버그있어요!

엠봉이 39 4071 8 3

하이로우 게임 진행시 서버에 게임 진행사항을 전송하는 방식이 아래와 같습니다.


1. 배팅금액 보냄

2. 승리할 시 획득 금액 보냄

3. 게임결과 전송 및 포인트 반영


그런데 위 내용을 임의로 변경하여 포인트를 조작할 수 있습니다.


개발자님이 조금만 고민하시면 금방 막을 수 있으실 거라 생각됩니다.


잠시 포인트경매 치킨의 유혹에 악용할 생각이 쬐끔 들었지만


메이저 진출을 꿈꾸는 개집의 운영을 위해 제보합니다!

8

프린트 신고
이전글 : 개지방 나 하이로우 올인 해서 승리했는데 0포 됨
다음글 : 인터넷 검색하다가 본건데 말이지 이거 아다왕꺼임??

Best Comment

BEST 1 패기객기독기  
신고
걍 컴터 잘다루는 사람이 어느 부분에 대해 주작가능한걸 발견하고 이렇게 하면 주작이 가능하여 악용이 될수있으니 수정바랍니다인데 그렇게 잘못한건가 싶네요 거기다가 그 와중에 주작 조금 하고싶었어요라고 개인 감정들었다고 솔직한게 얘기한게 죄인가..
거기다 메이저진출을 기원하는 마음에서 제보했다는건데
위의글하고 밑에 댓글만 봐서는 그렇게 잘못한건지 모르겠어요
저거 발견한다는거 자체가 이미 해킹해서 이것저것 만졌다는건가요?
그럼 이해가능인데
15 4
BEST 2 근대  
신고
근데 이게 이 사람이 실제 그 행동을 실행했는지 로그같은거로 확인 한 후에 운영상에 문제가 생겼다는 게 확인 됐을 때 제재를 가하는 게 맞지 않나요?
어쨌든 운영하는 입장에서 보안문제가 발생한 점을 지적받고 추후 발생할 더 큰 이슈를 미리 막을 수 있는 신고라 생각되는데, 앞으로 버그나 보안 취약점이 발견되더라도 제보를 안하게 되어 실제 포인트경매 등에 영향이 가지 않을까 조금 우려가 되네요
8 2
BEST 3 R3turNz  
신고
파라미터 값이 저렇게 보내진다는 걸 확인하면 '어? 이거 주작 할 수도 있겠는데?' 까진 생각이 가능합니다. 하지만 서버에서 한번 더 검증하는 로직이 있을 수 있으므로 해보기 전까진 된다 안된다를 알 수가 없습니다.
저건 이미 해봤다는 거고 그 자체가 이미 악용입니다.
즉 저분이 시도는 하지 않은 상태에서 '해보진 않아서 정확하진 않지만 주작을 할 수 있는 가능성이 보입니다.'
이렇게 말했으면 문제 없었을듯
7 0
39 Comments
엠봉이 2020.10.14 11:53  
신고
참고로 현재 하이로우 게임 배팅시 올인이 아니면 수억에 달하는 금액은 배팅하기가 어렵습니다. 이점 참고하시어 이전에 악용하는 유저들도 걸러내실 수 있을거라 판단됩니다.

럭키포인트 19,352 개이득

0 1
개집왕 2020.10.14 12:15  
신고
그러니까 그걸 어떻게 아신건가요?

럭키포인트 26,514 개이득

0 0
개집왕 2020.10.14 12:16  
신고
그리고 포인트경매에 악용하신다고요? 그러면 제가 모르고 오오 당첨되셨네요 축하합니다 이럴거 같나요?
0 1
개집왕 2020.10.14 12:16  
신고
삭제금지
0 0
개집왕 2020.10.14 12:16  
신고
확인
0 1
개집왕 2020.10.14 12:17  
신고
악용하는 유져들을 걸러낼수 있으실겁니다 라고 하셔놓고 말이 앞뒤가 안맞는데요
0 0
꽐라센도 2020.10.14 13:58  
신고
이거보니 이미 본인이 악용하고 글올린거네 ㅋㅋ
해킹범 잡은거 ㅇㅈ
1 0
군필여고생 2020.10.14 12:27  
신고
개지방 화나게하는법 ㅇㄷ

럭키포인트 13,718 개이득

0 0
포그 2020.10.14 12:33  
신고
처내

럭키포인트 11,535 개이득

0 0
개집왕 2020.10.14 12:36  
신고
그냥 꺼지세요 차단!
1 0
보고보고 2020.10.14 12:39  
신고
꺅!!!!

럭키포인트 13,172 개이득

0 0
개붕 2020.10.14 12:53  
신고
오 진짜 화내는거 첨봄

럭키포인트 14,416 개이득

0 0
짤봇 2020.10.14 12:55  
신고
오 개집왕 화낸다!

럭키포인트 26,319 개이득

0 0
김개동 2020.10.14 12:59  
신고
ㅍㅁ

럭키포인트 570 개이득

0 0
꽐라센도 2020.10.14 13:03  
신고
ㅠㅠ

럭키포인트 10,225 개이득

1 2
개집왕 2020.10.14 13:06  
신고
저게 왜 버그 발견해서 신고하는건지..?
0 0
꽐라센도 2020.10.14 13:07  
신고
헐 그럼 저사람이 악용했나요? 전 이것만 봐선 잘 몰라서요
0 0
개집왕 2020.10.14 13:09  
신고
그냥 간단하게 말씀드리면

나는 소스 쬐금 만질줄 아는 사람인데 주작할수 있습니다

그래서 포인트경매에 주작하려다가 참습니다

이렇게 말한겁니다
3 2
꽐라센도 2020.10.14 13:10  
신고
ㅇㅎ
0 0
근대 2020.10.14 13:24  
신고
근데 이게 이 사람이 실제 그 행동을 실행했는지 로그같은거로 확인 한 후에 운영상에 문제가 생겼다는 게 확인 됐을 때 제재를 가하는 게 맞지 않나요?
어쨌든 운영하는 입장에서 보안문제가 발생한 점을 지적받고 추후 발생할 더 큰 이슈를 미리 막을 수 있는 신고라 생각되는데, 앞으로 버그나 보안 취약점이 발견되더라도 제보를 안하게 되어 실제 포인트경매 등에 영향이 가지 않을까 조금 우려가 되네요

럭키포인트 8,697 개이득

8 2
개집왕 2020.10.14 13:28  
신고
당연하죠 물론 버그가 있다면 개발자한테 얘기해서 수정해야겠죠!!

하지만 저분이 말한걸 다시한번 잘 보시길 바랍니다

보통 저나 회원님 같은 일반적인 사람들인 경우에

저런생각을 할까요? 어떻게 하면..주작할수 있다 이렇게요?

전혀 안하죠? 그냥 게임은 게임으로 하는거죠

근데 저분이 말한걸보세요 나는 마음먹으면 포인트경매도 주작할수있고

하지만...안하겠다 이러는겁니다

무슨말인지 이해하셧는지?
2 5
패기객기독기 2020.10.14 13:44  
신고
걍 컴터 잘다루는 사람이 어느 부분에 대해 주작가능한걸 발견하고 이렇게 하면 주작이 가능하여 악용이 될수있으니 수정바랍니다인데 그렇게 잘못한건가 싶네요 거기다가 그 와중에 주작 조금 하고싶었어요라고 개인 감정들었다고 솔직한게 얘기한게 죄인가..
거기다 메이저진출을 기원하는 마음에서 제보했다는건데
위의글하고 밑에 댓글만 봐서는 그렇게 잘못한건지 모르겠어요
저거 발견한다는거 자체가 이미 해킹해서 이것저것 만졌다는건가요?
그럼 이해가능인데

럭키포인트 696 개이득

15 4
R3turNz 2020.10.14 13:55  
신고
파라미터 값이 저렇게 보내진다는 걸 확인하면 '어? 이거 주작 할 수도 있겠는데?' 까진 생각이 가능합니다. 하지만 서버에서 한번 더 검증하는 로직이 있을 수 있으므로 해보기 전까진 된다 안된다를 알 수가 없습니다.
저건 이미 해봤다는 거고 그 자체가 이미 악용입니다.
즉 저분이 시도는 하지 않은 상태에서 '해보진 않아서 정확하진 않지만 주작을 할 수 있는 가능성이 보입니다.'
이렇게 말했으면 문제 없었을듯
7 0
개집왕 2020.10.14 15:17  
신고
그렇다면 독기님이 생각하는게 맞는겁니다
0 0
YEEZY 2020.10.14 13:04  
신고
차단사유 : 엠봉이
ㅋㅋㅋ

개집왕 화내지마ㅠㅠ

럭키포인트 26,706 개이득

0 4
R3turNz 2020.10.14 13:43  
신고
본문내용중 '그런데 위 내용을 임의로 변경하여 포인트를 조작할 수 있습니다.'

이 말은 해봤다는 거임 이미 악용한거임
파라미터값이 저렇게 날라간다 해도 서버에서 검증하는 로직이 있을 수 있으므로 변조가 안될 가능성도 있는데 저렇게 조작할 수 있습니다 라고 확정지어 얘기한 것은 이미 해봤다는 것

럭키포인트 16,386 개이득

2 0
패기객기독기 2020.10.14 13:58  
신고
메이플 같은 겜하다가 템복사버그 발견해서 공익제보하면 너 그거 발견했단 말은 니가 해봤단 말인데 ? 이렇게 하면서 메이플스토리에서 계정삭제하나?
그걸 복사해서 실제로 공급해서 사적으로 이익 추구했는지 로그같은걸로 기록 살펴보고 진짜 공익제보임을 확인하면 오히려 포상해줄거같은데
1 3
R3turNz 2020.10.14 14:01  
신고
제가 관련업계 종사하고 있는데..
취약점을 허락받고 찾은게 아니면 일단은 다 불법 해킹이 맞습니다.
내 서비스나 웹사이트에서 취약점을 찾아서 보완하고 싶으면 버그바운티를 열거나 전문가에게 의뢰를 하는 것이 맞습니다
1 1
R3turNz 2020.10.14 14:02  
신고
예시로 든 게임 회사들도 자체적으로 취약점을 찾거나 컨설팅을 받아 취약점을 찾는 활동을 하고 있습니다.
1 1
패기객기독기 2020.10.14 14:05  
신고
의도가 좋든 나쁘든 불법이고 기분나쁜일이겠네요 운영자 입장에서는
1 1
나혼자싼다 2020.10.14 14:18  
신고
저도 관련업계 일해본적 있는데 저건 취약점 찾아낼 목적으로 작정하고 작업환경을 구성하고 해킹해서 알아낸 정보인데다가 결정적으로 이미 개집왕이 위에서 글쓴이가 앞뒤가 안맞는소릴 했다는걸로 봐선 로그확인해보니 악용까지 다 마치고 쓴글입니다. 흘러가는 정황이나 분위기 파악좀 하고 글쓰셨으면 좋겠습니다

럭키포인트 9,893 개이득

2 0
잖아충 2020.10.14 18:19  
신고
그런 업계 취업하려면 어떤거 공부해야해요?

럭키포인트 11,716 개이득

0 2
패기객기독기 2020.10.14 14:02  
신고
이게 홈페이지 운영자랑 회원이랑 받아들여지는게 다른가 보네요
딱 글 봤을때 약올린다는 느낌보단 걍 이거 발견했어요!!
사실 주작하고싶었지만 메이저 진출을 위해 제보해요!! ㅎㅎ 저 잘했죠 하는 관종 회원느낌이 다였는데
4 2
엠봉에서와써영 2020.10.14 13:45  
신고
개집왕 화나쪄

럭키포인트 25,741 개이득

0 0
갓트리버 2020.10.14 13:48  
신고
ㅋㅋㅋㅋ 그냥 재미를 모르는 사람이네
개집에도 코딩좀 하시는 분들 많던데

럭키포인트 25,248 개이득

0 2
R3turNz 2020.10.14 14:11  
신고
저렇게 로직 분석하고 파라미터 값 확인한거 자체가 어느정도 환경이 구성되어 있어야 가능합니다. 우연히 발견한게 아니라 처음부터 취약점을 찾아낼 목적이었던 거죠..그게 공익을 위해서든 악용을 위해서든 개집왕의 허락을 구하지 않고 취약점을 찾은 행위 자체가 잘못된 거에요.
4 0
┓┓┣ 2020.10.14 14:41  
신고
정보통신망법 제48조 제1항 보면 "누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입해서는 안된다"고 되어 있음
공익의 목적이라도 사업자의 동의 없이 웹사이트의 취약점을 찾는 행위는 불법임
구동되고 있는 사이트에서 취약점 찾는건 사이트 구동에 영향을 줄 수 있고 저런 행위는 사이버 공격으로 봐도 됨

럭키포인트 4,191 개이득

1 0
Gimori 2020.10.14 16:52  
신고
ㅂㅂ

럭키포인트 13,751 개이득

0 0
신입뉴비 2020.10.19 20:56  
신고
ㅍㅁㅍㅁ

럭키포인트 14,433 개이득

0 0
로그인한 회원만 댓글 등록이 가능합니다.
제목