发现漏洞必须及时修补,任何版本都难以避免存在问题,例如昔日盛大的刷金条事件。为保障论坛会员利益,本文将详述一些老旧传奇服务端可能存在的安全隐患与缺陷。
1、 某些传奇版本中存在通过行会招募NPC或二级密码NPC向系统写入特定代码的机制,攻击者可借此植入元宝生成指令。但仅写入代码无法直接生效,必须配合专用软件调用QF文本中的元宝代码才能触发刷取效果。若缺少该软件支持,系统将无任何反应,这也是多数人难以突破的关键所在。正因这些NPC具备可写入数据的功能,导致部分新开服务器频繁出现异常刷出元宝与装备的现象。目前市面上大多数传奇服务端仍保留着这两类NPC,因而此类漏洞普遍存在。
2、 修复方式:在版本中查找FilterStr.txt文件,添加指定代码即可。
3、 以下是几种修复方法:首先,调整行会招募NPC的设置,取消管理权限,仅保留竞价功能,禁止修改公告内容。其次,删除游戏中无实际作用的二级密码NPC,以减少冗余。在M2Server中进入查看菜单,选择列表信息下的其他设置,找到用户过滤字符列表,将敏感字符如@添加进去,完成设置后点击保存即可生效,从而有效屏蔽不当输入。
