关于服务器被人攻击报错的问题的一些解决方案

nodiff · 发表于 2024-7-4 13:18:10

本帖最后由 nodiff 于 2024-7-4 13:19 编辑

1. 接受到 event.data 不为 string 的攻击时的报错
将：

u.Server = {
address: "ws://localhost:8010/TestServer/server",
socket: null,
connect: function() {
e.address && (u.Server.address = e.address),
u.Server.socket = new WebSocket(u.Server.address),
console.log("正在连接至服务器..."),
u.Server.socket.onopen = function(e) {
u.Server.socket.onmessage = u.Server.onMessage,
u.Server.socket.onclose = u.Server.onClose,
u.Server.socket.onerror = u.Server.onError,
u.Server.onOpen(e)
}
},
onOpen: function(e) {
console.log("成功连接到服务器。"),
u.Event.call("ON_OPEN")
},
onMessage: function(e) {
u.Event.call("ON_MESSAGE", e.data)
},
onError: function(e) {
u.Event.call("ON_ERROR", e.data)
},
onClose: function(e) {
console.log("从服务器断开:" + e.data),
u.Event.call("ON_CLOSE", e.data)
},
send: function(e) {
u.Server.socket.send(e)
}
};

复制代码

改为：

u.Server = {
address: "ws://localhost:8010/TestServer/server",
socket: null,
connect: function() {
e.address && (u.Server.address = e.address),
u.Server.socket = new WebSocket(u.Server.address),
console.log("正在连接至服务器..."),
u.Server.socket.onopen = function(e) {
u.Server.socket.onmessage = u.Server.onMessage,
u.Server.socket.onclose = u.Server.onClose,
u.Server.socket.onerror = u.Server.onError,
u.Server.onOpen(e)
}
},
onOpen: function(e) {
console.log("成功连接到服务器。"),
u.Event.call("ON_OPEN")
},
onMessage: function(e) {
if (typeof(e.data) != 'string') {
console.log("u.Server.onMessage : e.data 不为 string, 已被拦截");
return;
}
u.Event.call("ON_MESSAGE", e.data)
},
onError: function(e) {
u.Event.call("ON_ERROR", e.data)
},
onClose: function(e) {
console.log("从服务器断开:" + e.data),
u.Event.call("ON_CLOSE", e.data)
},
send: function(e) {
u.Server.socket.send(e)
}
};

复制代码

nodiff · 发表于 2024-7-4 13:23:42

1. 接受到 event.msg 不为 string 的攻击时的报错和长度过长的卡顿
将：

O.prototype.onMessage = function(e) {
var t = e.msg
, n = "herobrine";
h.instance.playerMap["p" + e.uuid] && (n = h.instance.playerMap["p" + e.uuid].Player.playerName);
var r = n + ": " + t;
this.addMessage(r)
}

复制代码

改为：

O.prototype.onMessage = function(e) {
var t = e.msg
, n = "herobrine";
if (typeof(e.msg) != 'string') {
console.log("O.onMessage : e.msg 不为 string, 已被拦截");
return;
}
if (e.msg.length > 10000) {
console.log("O.onMessage : e.msg 长度过长, 已被拦截");
return;
}
h.instance.playerMap["p" + e.uuid] && (n = h.instance.playerMap["p" + e.uuid].Player.playerName);
var r = n + ": " + t;
this.addMessage(r)
}

复制代码

nodiff · 发表于 2024-7-4 13:27:19

这些是我在 Elfive 服务器收到过的攻击，在这里最好拦截一下

脚气. · 发表于 2024-7-4 18:31:44

额。。。。这是源代码？

nodiff · 发表于 2024-7-5 17:58:24

难道没人吗

nodiff · 发表于 2024-7-6 19:26:57

真的没人吗？WTFGame不在吗

WTFGAME · 发表于 2024-7-6 19:30:24

感谢你提供的bug反馈
我们会在服务器端做相应的拦截，尽可能避免修改前端代码

nodiff · 发表于 2024-7-6 21:24:06

首先，感谢您的回复！
另外，希望能在服务端加入像 elfive 服务器一样的反外挂系统（在接收到移动包的时候对uuid检查、对发包频率过大的用户封禁），也可以加入例如:
1. 对突然移动距离过大的用户统计次数，达到次数踢出或封禁（这个可能无法准确判断是否为外挂，可能为网速等种种原因）
2. 对短时间内推人次数过多的用户统计次数，达到次数踢出或封禁

如果没有这些机制的话希望服主可以选择性加入

nodiff · 发表于 2024-7-6 21:59:56

另外，还有一个问题：客户端的javascript中调用的语音接口依旧是tts.baidu.com，这个接口现在不能用了，可以参考老服务器和测试服，改用网易的接口，就是把

"http://tts.baidu.com/text2audio?lan=zh&pid=101&ie=UTF-8&idx=1&tex="+encodeURI(e)+"&per="+t%4+"&ctp=1&cuid=1&pdt=1"

复制代码

改为

'https://dict.youdao.com/dictvoice?audio=' + encodeURIComponent(e) + '&le=zh'

复制代码

并且要使用的是encodeURIComponent，因为只使用encodeURI会出现比如"你好&le=us"会被解析为语言为英文，甚至可能存在潜在的攻击风险。

nodiff · 发表于 2024-7-6 22:00:30

本帖最后由 nodiff 于 2024-7-6 22:38 编辑

还在吗？还在吗？还在吗？

		自动登录	找回密码
密码			立即注册