是时候，换个姿势关注TA
关注 功能升级，收割　TA 的最新动态
扫我下载最新九游APP
查看: 145|回复: 7
最后登录积分853精华0帖子
, 经验 853, 距离下一级还需 147 经验
刚清理了一批死号，求加每天能够组我过副本的好友！保证每天我也组你，我现在每天都把好有用完！！不在乎你的数据如何，只求能各自增加对方的侠义值！下面是我的数据截图！
(993.3 KB, 下载次数: 0)
17:23 上传
点击文件名下载附件
最后登录积分853精华0帖子
, 经验 853, 距离下一级还需 147 经验
顶！！！！速度加好友！不在乎数据，不在乎等级！只求能互组过副本！还有，如果不想玩了，请在好友中将我删除！感谢！！！！！
最后登录积分853精华0帖子
, 经验 853, 距离下一级还需 147 经验
唉，没人加，早知道还不如留着死号呢，没意思！感觉玩的人好少啊
最后登录积分956精华1帖子
, 经验 956, 距离下一级还需 44 经验
最后登录积分6202精华0帖子
, 经验 6202, 距离下一级还需 -202 经验
最后登录积分2267精华0帖子
, 经验 2267, 距离下一级还需 733 经验
大坑加你好友
最后登录积分853精华0帖子
, 经验 853, 距离下一级还需 147 经验
<font color="#8999105 发表于
大坑加你好友
额，呵呵，谢谢，你是第一个加的唉，我都开始自己加了。
最后登录积分956精华1帖子
, 经验 956, 距离下一级还需 44 经验
我早加你了
安卓平台下载
苹果平台下载402被浏览53,294分享邀请回答45564 条评论分享收藏感谢收起11158 条评论分享收藏感谢收起其它热门问题
来自《马戏之王》
来自《勇往直前》
来自《神秘巨星》
来自《铁雨》
douban.com, all rights reserved 北京豆网科技有限公司某游戏公司后台数据库SQL注入事件分析
某游戏公司后台SQL注入事件分析
人物关系简介
Dawn（Boss）
Fred &离开公司的安全顾问
本案例出自于《Unix/网络日志分析与流量监控》一书，该事例详细描述了一家公司的后台服务器被入侵，从中获取了大量游戏币帐号，并发送邮件相威胁的案例。主要遇到的问题是服务器被SQL注入或受到了SQL注入攻击
Blank是XX公司的网络架构师，技术好人缘也不错，他实际的工作室XX公司的&首席救火队员&，每件事他都要自己做，就连做网线也不放过。
这一天跟其他日子一样Blank正在上网，突然他的上司突然打断了他说
&Blank，我有事找你。&她表情严肃地说。
&我刚收到这封电子邮件。&Dawn在和Blank一起去她的办公桌时边走边说。
我发现你的网站有一个安全问题。它泄漏了你所有用户的记录和信用卡号。我是一个为了通过咨询来挣钱的、努力的学生。如果你给我1000万，那么我会告诉你怎么修复这个问题。如果你不给我钱，那么我就要公开这些信息了。
为了让你相信，下面是你的几个客户。
Shane Mason & 1111
Dan Burnham & 1111
Dana Mueller - 1111
Blank惊呆了。他穿过防火墙获得了账号。那些在影视剧里才有的敲诈勒索事件就出现在Blank的公司。
为了查明原因Blank迅速与公司的DBA联系，确定了那些用户账号和密码的真实性，结果完全一致。Blank十分害怕下面将要发生的事情。通常来说，坏的事情总是发生在最后。
&嗯，Dawn，我真的不知道。Fred负责所有的安全问题。他离开公司后，没有人负责这一块了。
&现在Fred在哪里？&她问。
&他在某个咨询公司。我有他的名片。&
&赶快打电话给他，叫他现在到这里来，&她说。&我不在乎花多少钱。&
&可能我们应该叫警察？&Blank小心地提议到。
&我不想让这件事泄露出去。我们公司正准备上市，如果他们知道了我们有安全问题，那么我们就完了。去叫Fred，快！&
Blank快速回到他的写字间，他的脑中还萦绕着这个事件方方面面的问题。他慢慢整理成堆的商务名片，试图找到Fred的名片。Blank找出了Fred的名片：&Fred ，CISSP。&Blank想像某一天自己也会成为CISSP。现实把他猛然拽了回来。Blank拿起电话，拨了Fred的电话号码。
&我是Fred Langston。&
&嗨，Fred，我是XX公司的Blank。&
&嗨，Blank，很高兴接到你的电话。真希望你一切都好。&Fred兴高采烈地说
&一点也不好，Fred。我们有一个安全问题，我们非常需要你的帮助。&
&我已经安排了一个会，五点钟开完。&
&太好了，Fred。那太好了,我等你。&Blank说。
&同时，我会叫我办公室的人把我们的标准文书传真过去， 以备我们的进一步合作。
&Fred，我确实想进一步合作。我们这里有很大的麻烦了，现在分秒必争。&Blank恳求道。
&真的？发生了什么？&
&公司服务器被黑了&
Fred想了一下之后说：&好吧，Blank，给我五分钟，我会给你回电话的。&
Blank挂断电话，等了三分钟，可是他觉得像过了一个小时一样。电话响了。&我是Blank。&
&嗨，Blank，我是Fred。我在十分钟之内过去。
Blank快速回到他的写字间，Blank拿起电话，拨了Fred的电话号码。
Fred打开门，对Blank今天的落魄感到吃惊。
&嗨，Blank，你把文件签署好了吗？&
那么让我们开始工作吧。&Blank和Fred占用了一个会议室，迅速开始工作。Blank快速告诉了Fred有关细节。Fred靠在他的椅子上，考虑了一会说：&Blank，你应该叫警察，这是敲诈勒索。&
&Dawn说不能惊动警察，&Blank说。&她不想让这件事公开。&
&好吧。那么我需要一个网络图、防火墙规则，还有那份电子邮件所有信头的信息。看我们是否能搞清楚他是怎么入侵的。&
Blank跑去收集Fred需要的数据。Fred靠在椅子上，清理着他的思路。Fred的思绪飘回到了他在Widgets.com公司的时候，那时他设计网络的体系结构。他回忆起严格的火墙规则和完美的DMZ设计。他怀疑Blank改动了许多设计，因为他当时也负责这事情。Blank拿着一叠纸走进房间。
&这是所有的数据，Fred。&
Fred在桌子上展开了这些文件。下图是Widgets.com公司的网络结示意构图。
Widgets.com公司的WEB防火墙规则：
Conduit permit tcp host 192.150.50.5 eq www any
Conduit permit tcp host 192.150.50.5 eq 443 any
如下是Widgets.com公司的数据库防火墙规则：
Conduit permit tcp host 192.150.52.4 eq 1443 host192.168.50.5
下面是Fred从Blank那里得到的带有全部头信息的电子邮件：
Received: fromns1.widgets.com(10.1.2.11[10.1.2.11])by mx01.widgets.com with SMTP (MicrosoftExchang internet Mail Service Version 5.5 .2656.59) id R44ZWRCF2;Mon,13 Mar:00-0400
Received: fromweb21501.mail.webmail.com(web21501.mail.webmail.com[10.163.169.12])
by ns1.widget.com(8.11.6/8.11.2) withSMTP id g81J4PM30909
for ; Mon,13Mar :25 -0400
Message-ID:&30.84781.qmail@web21501.mail.webmail.com&
Received:from [10.9.212.210] by web21501.mail.webmail.com via HTTP;Sun,01 Sep :30 PDT
Date:Mon,13 Mar :30 -0700(PDT)
From:KunFoo
subject:Security Issue
MIME-Version:1.1
conten-type:mutipart/boundary=&0-428&
content-Type:text/charset=us-ascii
Conten-Type:text/charset=us-ascii
I have discovered a securityproblem whith your web site. It reveals all your user records and credit cardnumbers I am a struggling student thatmaked money going consulting .I will tell you how to fix this problem if youpay me $150000.If you decide not to pay me I will go public with thisinfomation. In case you are curious here are a few of your customers.
Shane Mason - 1
Dan burnham - 1
Dana Mueller -1
Fred认真检查了网络图和防火墙规则。&我走后你改动了什么吗，Blank?&
&不，伙计，我太忙了，一直忙着救火，没有空改任何东西。应该还和以前都一样。&
&那补丁呢？&Fred问。
&所有的Windows Server 2003服务器都运行了最新的补丁，我很肯定SQL服务器是打了补丁的。&
&好吧，看起来惟一能进入的通道就是Web服务器。让我们从那里着手。&
Fred从他的背包里抽出笔记本电脑，开始了工作（黑色瑞士***牌双肩背包里抽出笔记本电脑）。&我准备检查一下Web服务器的（采用了什么方法检查Web服务器漏洞的），&他说。&这些天谁看了Web服务器的日志？&
&我很肯定负责市场的Alex看了它们。&Blank说。
&好的。我需要最近几周的日志。&
Blank再一次走出门。Blank开始跑来跑去一点一点收集文档。他拿回来一大堆的设备归档日志，扔在Fred面前。
&这是你要的所有日志。&
Fred开始反复查阅Blank获得的日志记录，但是在这些日志中丝毫没有找到线索， Fred都快要发疯了，这时候，Ryan冲进门来。
&Blank，我有事找你。昨天晚上SQL服务器发生了奇怪的事情。&
&我现在真的没有时间，Ryan，&Blank呻吟道。
&你发现了什么，Ryan?&Fred迫不及待问到。
&只是一些奇怪的错误，&Ryan边说边递过来一张纸。下面就是他发现的代码：
3/12/10 1:24:12 AMecom systemFailure:80040E14 Microsoft OLE DB Provider for ODBC Drivers-&AuthenticateCustomer[Microsoft][ODBCSQL Server Driver][SQL Server]Line 1: Incorrect syntax near`:`.
3/12/10 1:24:36 AMecom systemFailure:80040E14 Microsoft OLE DB Provider for ODBCDrivers-&AuthenticateCustomer[Microsoft][ODBC SQL Server Driver][SQLServer]Line 1: Incorrect syntax near`,`.
3/12/10 1:24:55 AMecom systemFailure:80040E14 Microsoft OLE DB Provider for ODBCDrivers-&AuthenticateCustomer[Microsoft][ODBC SQL Server Driver][SQLServer]Line 1: Incorrect syntax near the keyword`OR`.
3/12/10 1:25:10 AMecom systemFailure:80040E14 Microsoft OLE DB Provider for ODBCDrivers-&AuthenticateCustomer[Microsoft][ODBC SQL Server Driver][SQLServer]Line 1: Incorrect syntax near the keyword`UNION`.
3/12/10 1:25:19 AMecom systemFailure:80040E14 Microsoft OLE DB Provider for ODBCDrivers-&AuthenticateCustomer[Microsoft][ODBC SQL Server Driver][SQLServer]Line 1: Incorrect syntax near the keyword`)`.
3/12/10 1:25:32 AMecom systemFailure:80040E14 Microsoft OLE DB Provider for ODBCDrivers-&AuthenticateCustomer[Microsoft][ODBC SQL Server Driver][SQLServer]The identifier that starts with `UNION ALL SELECTO ther Field FROMOt` istoo long. Maximum lenth is 30.
3/12/10 1:25:10 AMecom systemFailure:80040E14 Microsoft OLE DB Provider for ODBCDrivers-&AuthenticateCustomer[Microsoft][ODBC SQL Server Driver][SQLServer]Line 1: Incorrect syntax near `UNION SELECT NAME,PASSWORD,FROM USERSWHERE`:`.
3/12/10 1:25:31 AMecom systemFailure:80040E14 Microsoft OLE DB Provider for ODBCDrivers-&getParNo [Microsoft][ODBC SQL Server Driver][SQL Server]Invalidobject name `USERS`.
这时Fred眼前一亮。他从光盘上打开IIS服务器的日志文件，开始一页一页地看，直到找到第一个SQL服务器错误的时间记录：
03/12/ 10.9.212.210W3SVC1 WWW-2K WWW-www.widgets.com 80 POST/catalog/search.501 749 492 32 www.widgets.comMozilla/5.0+(+MSIE+5.1;+Windows+98)
&啊哈！&Fred大叫一声。
他似乎有了重大发现，接下来该怎么办？在《Unix/Linux网络日志分析与流量监控》一书中进行详细分析。4399游戏盒下载
时间：15-09-17
作者：Gemini
| 浏览:0次
其实一直以来，我们大家都提过无数次国产移动游戏是个深坑，品质不好，玩好不创新，但是最后发现，游戏还是很火，玩的人还是很多。
我们常说游戏品质很重要，但是真正关注游戏品质的厂商确实少之又少。
我们常说被国产游戏伤透了心，但是当一大波渣游到达，我们又屁颠屁颠加入到游戏大军之中。今天我们就来谈谈关于游戏品质与游戏数值的问题，看看国内的游戏为何近几年来为何总给人感觉特别&坑&。
畸形的怪圈经济
我先来给大家分享一些小编看到的和听到的一些事情。首先是前几天《变形金刚：前线》这款手游，突然一夜之间成为了热搜榜的第一位，而百度指数也是呈现爆炸式的增长，小编还在好奇，这款游戏我之前是一点也没听过，突然上了热搜，是不是开了什么特效之类。
我以为是一款神作，本想试玩下，做个评测，然而当我试玩之后，发现游戏其实就是个&类刀塔传奇&的换皮之作，再看其热度的种种反常现象，我们没理由不相信，这又是一场厂商策划出得一次有目的性的营销事件。
前些天看到一篇关于&国内与国外游戏音乐制作&的文章，里面很全面的介绍了国内与国外对于游戏音乐制作方面俩种截然不同的态度，在这里稍微跟大家分享下。
其实最大的差别就是在于对于游戏音乐的态度，而这态度最明显的表现在了前期的成本投入。在一款游戏的预算方面，玩家耳熟能详的那些国外大作，游戏音频开发预算大约会占游戏开发总预算的10-30%。这些钱大都花在了大量乐器实录、正版音乐制作软件+大量正版音源素材。
而反观国内的情况，有人做过一项调查，某10人以下小型手游开发团队，拿了投资人200万做一款三国卡牌，大部分游戏音乐从网上或别人游戏里扒，少部分实在没法扒的外包，总花费：<font color="#ff元。
某30人左右中型手游开发团队，手游产品总成本约为1200万，游戏音频整体外包，总花费：<font color="#ff元。
某上市大型游戏开发公司，某S级重度ARPG大作，开发预算约2000万，宣发预算号称5000万，游戏音频整体外包，总花费：<font color="#ff元。
投入的成本与用户体验
从上面的大概数据中，我们不难看到，国内厂商在游戏中对各个系统的投入侧重，虽然说成本并不仅仅是衡量一款游戏好坏的唯一标准，但是从用户体验与游戏开发双重角度来看，国内这样的发展模式对游戏寿命有着致命的伤害。
一款游戏从画面、音效、玩法、游戏系统、付费等等，是由多个属性组合在一起的，可以说是缺一不可。就以游戏制作人为例，国外很多游戏的音效师是以游戏开发者的身份参与到游戏的制作中，而他们的意见也会一定程度影响游戏的整体开发，自己的音乐自己最为了解，如何能更好的辅助游戏画面的表现，我想不会有人比原作者更为了解。
而采取外包，也就意味着游戏画面跟音乐可能完全是俩个风格，最后感到不舒服的还是玩家自己。
让我们感到不满的并不是数值
越来越多的玩家都知道游戏是有&数值策划&这个职业，也有越来越多的玩家成天都在念叨所谓的&数值坑&。大多数玩家认为，数值策划其实就是坑钱策划，就是想着怎么将玩家的钱都给坑出来。
所谓的数值在游戏中体现在于：小到人物的血量、攻击、防御，大到装备的属性、装备结合后的组合属性、防御下的暴击是多少，游戏对战多长时间合适等等方面。
在这里我想给大家解释一下数值与游戏的关系，然后我们再来看看国内大多数游戏对于数值的应用。
游戏的数值设计，永远是和玩法设计紧密结合在一起的。有很多人觉得游戏好不好玩，完全是看数值，其实我觉得这种说法并不全面，游戏是不是好玩，和数值的相关性不是特别大，但是游戏能够让玩家玩的有多深入或是长久，这就要看数值的表现了。
一款优秀游戏的数值表现在：游戏给玩家的是一种慢慢游戏的乐趣，能够循序渐进的找到自己感兴趣的方面，而有些游戏数值比较容易崩盘，有得做得太大，导致玩家加速体验了游戏内容，最后对游戏渐渐失去兴趣。
游戏到底好不好玩，完全是来自游戏的玩法，其实也就是游戏规则的确立。
数值在这里，更像是一个将这个虚拟的规则具体与实体化，有的人不喜欢一个游戏，其实并不是说游戏数值出了多少问题，而大半部分原因是因为游戏规则让玩家感到了不满。
这才是&数值坑&的真面目
大家了解了上面我所说的，接下来我们就来说说我们常说的&数值坑&吧。最形象的来说，当你感觉自己玩一款游戏要开始花钱的时候，那就意味着你快掉入到这个坑里面了。
当你发现自己不能再三星通关，或是不能轻松打BOSS，甚至说开始卡关的时候，其实就是提醒玩家该充值了，你需要变得更强。
也是在这，玩家感觉到游戏的坑与氪金，甚至说很多游戏付费点都有分前置与后置一说，前者更像是赚一波钱就走，后者更像是跟你细水长流，大家彼此都是慢慢来，这样的处理方式也更得人心。
按道理来说，游戏数值应该让玩家更好的体验游戏，间接促进玩家的消费。而国内很多游戏的氪金程度完全就是跳过了乐趣直接进入了敛财。
他们将这种数值应用在了规则与付费点上，怎么样让玩家更快的掏钱，才是他们考虑的，至于游戏到底好不好玩，他们完全不在乎，要不然不会有这么多套皮出现，而最后的结果就是让玩家对所谓的数值都没有什么好感，进而对游戏也失去了兴趣。
心中最理想的状态
不知道小编说了这么多，大家能够理解多少，小编的学识也是极为有限，也并不是专业人士，只是说了一些自己了解与理解的东西。
我始终觉得，游戏并不仅仅只是商家与玩家的一次交易，这更像是一次彼此了解、相识的过程，就像谈恋爱一样，你是愿意找一个愿意理解你、给你带来快乐的伴侣还是需要一个上来就问你有多少存款的对象呢?
而最理想的状态，就是厂商能够考虑玩家的想法，在规则的制定上从玩家体验出发，而不是玩家的钱包。
而玩家自己也能够投入到游戏的玩法与创意元素，不要天天想着制霸服务器，总想着自己一定要秒天秒地秒空气。也只有这样的发展，才能够彼此促进、各取所需。
看精彩攻略秘籍，玩海量精品手游
扫一扫，用手机随身看！
用微信扫描还可以
分享至好友和朋友圈
扫一扫，用手机随身看！
用微信扫描还可以
分享至好友和朋友圈
扫一扫二维码
微信号：yingyan_4399}