对于插件安全性的警告
虽然我已决定不再写剑世的插件了,然而最近偶尔回论坛看到有几个帖子写到使用了插件被盗号的,心里不禁还是有点担忧——之前我所担心的事情虽然还不至于泛滥,但想来也是有个别现象存在了。
一个确定的事实是:剑世的文本插件是可以盗号的,并且盗号代码可以极其隐蔽,而且非常高效准确!
早在一个月以前我就已经发现了这个客户端脚本上的漏洞,众所周知,金山的客户端界面脚本系统是基于最新的 LUA 5.2 为基础,并且对脚本层开放了很多客户端接口,使得第三方的所写插件可以很轻易的写出很多原来需要破解封包才能实现的功能,然而,这也印证了 HACK 界一个很著名的定律,越是开放的代码,其安全性就越脆弱。
毫不夸张的说,只要我愿意,我可以收集到每一个运行过我插件的人的帐号名和密码。
所以,据我不完整的观察,目前应该有一些居心诡异的人,利用之前所发布的插件为基础,加入了这样类似的代码……这样,使得简单的几个文本文件也能成为盗号的元凶。
------------------------------- 检验一个插件是否安全的方法 -----------------------------------
在金山没有对这个漏洞修复之前,一个目前我所能想得到最简单的方法:
1、使用记事本或者其它编辑工具,对脚本文件夹的每一个 .lua 脚本搜索是否存在 IE_Navigate 语句。以及这个语句所指向的地址是否可疑。
2、在运行游戏的过程中,有没有突然弹出一些可疑网页的情况。





