🛡️ Найду и устраню бэкдоры и уязвимости в игровом моде

[SRial]

А какие методики используешь? Есть ли короткий набор инструментов? Что по прайсу, на примере той же ра3?

На самом деле, тема прикольная, сам таким иногда забавляюсь (оставляю бекдоры). Однако нужна до безумия профессиональная сноровка, что никакой gpt не поможет.

1. Статический анализ - прохожу весь код, ищу паттерны
2. Grep/ripgrep: [Command(, execute(, callRemote(, Query(, eval(
3. Проверка команд на наличие проверки прав
4. Анализ SQL-запросов на параметризацию
5. Поиск хардкод значений (по примеру выше - логины)
6. Проверка обходов
7. Анализ клиентского кода на RCE уязвимости

А из инструментов
ripgrep/grep для поиска паттернов
VS Code / Rider для анализа кода
Собственные скрипты для автоматизации поиска
Ручной анализ кода

По прайсу на данный момент очень низко, т.к база клиентов на Rage:MP отсутствует как таковая, так что считайте что фактически даром.
В дополнении ко всему, поставили отрицательную оценку из простой обороны на "высер" в свою сторону. Люди есть люди...

Да, да, я все это слышал уже один в один, от местного 13-летнего специалиста, к твоему сожалению, паттерны ии слишком видны.

Ок, понял. Для вас любой структурированный ответ = ИИ. В целом можете дальше не продолжать, душите конкурентов.

Я показал реальные уязвимости, описал методику. Вы же только "это жэпэтэ патирни ыы" без аргументов

 

[UchihaMadara]

В дополнении ко всему, поставили отрицательную оценку из простой обороны на "высер" в свою сторону. Люди есть люди...

А ты ожидал, что все тебе лайки будут ставить и писать Слава богу ты пришёл?)

VS Code / Rider для анализа кода

Ты сам сколько писал код, чтобы делать его анализ?

т.к база клиентов на Rage:MP отсутствует

Где-то в другой сфере у тебя есть база клиентов?

 

[enotit]

1. Статический анализ - прохожу весь код, ищу паттерны
2. Grep/ripgrep: [Command(, execute(, callRemote(, Query(, eval(
3. Проверка команд на наличие проверки прав
4. Анализ SQL-запросов на параметризацию
5. Поиск хардкод значений (по примеру выше - логины)
6. Проверка обходов
7. Анализ клиентского кода на RCE уязвимости

А из инструментов
ripgrep/grep для поиска паттернов
VS Code / Rider для анализа кода
Собственные скрипты для автоматизации поиска
Ручной анализ кода

По прайсу на данный момент очень низко, т.к база клиентов на Rage:MP отсутствует как таковая, так что считайте что фактически даром.

Меня чего смущает в этой всей истории - всё вручную. Если голопом, то не уследить ошибку - легко. Но на подобные задачи у меня есть небольшой список скриптов (екзекьютер, скрипты ентрипоинтов и тп). Но в мечтах освоить нормальные инструменты дебагер, стектрейс запросов и тп.
Отсюда и вопрос про цену, ибо, к примеру меня, если брать объем РА3, то я бы поставил, наверно, 8 рабочих дней (8ч<ставку>р - немало). То у тебя какая, в валюте желательно?

Вот если бы у тебя был банальный ии-агент, который гуляет по проекту и ищет уязвимости, то было бы интересно. Ещё важно понимать, что помимо пародии легендарного мема, нужно уметь предложить варианты решений, у нас в компании после аудита даётся, помимо документа "у вас тут плохо, здесь не по стандартам", ещё варианты решений по стандартам (например, все запросы перетянуть на ORM).

Как авантюра за 300-500 рублей, мб и норм, но более это как будто странная авантюра. Особенно, если взять во внимание мессеж Серафима.

 

[UchihaMadara]

Связь:
— Исключительно через сообщения на форуме https://ragemp.pro

Не рискуйте сервером - доверьтесь профессионалу!

Связь только через форум лол

Проект делали годами, тратили десятки тысяч долларов, чтобы загрузить это всё в архив.zip и отправить левому хую на форуме в ЛС.

 

[Vermilion]

Ок, понял. Для вас любой структурированный ответ = ИИ. В целом можете дальше не продолжать, душите конкурентов.

Так по факту разйоб, разве нет?

 

[DonLeo]

Мне кажется что каждый нормальный разраб, врядли будет заказывать подобные услуги рискуя с 99% гарантией слить свои наработки, код можно и самому пересмотреть на возможные инъекции темболее что экранирование не зря придумали

 

[Vermilion]

Мне кажется что каждый нормальный разраб, врядли будет заказывать подобные услуги рискуя с 99% гарантией слить свои наработки, код можно и самому пересмотреть на возможные инъекции темболее что экранирование не зря придумали

Исправляю старые баги, добавляю новые

 

[Harland David Sanders]

Ты пришёл сюда с нами нейросетью разговаривать или что? Ты думаешь мы долбоёбы?

Ну давай разберём по частям ею написанное

Чат жпт любит считать, что [Command - это точка входа, без авторизации. Но это не так.
Команды fajsd78fasasf и fasjf78das78f в редаге, и третья тоже - вызываются НЕ без проверки прав, это становится очевидно, если их просто, блять, открыть

Посмотреть вложение 23538


Вот она, проверка

Посмотреть вложение 23539

Это не уязвимость, а так и задуманная админская команда, которая просто называется абсурдно, что смущает нейросеть.
И проверка прав в ней - есть.
Как и в остальных двух.
Абсурдное имя != бекдор, если контроль доступа реализован в вызываемой бизнес-логике, но агент этого не понимает сам.

public static void Query(string command)

Это - тоже не уязвимость, это транспорт. Это типа лоу-лвл апи.
Сам по себе - он не является уязвимостью, потому что полностью зависит от того, что в него передают.
Потенциально ли он опасен? Да, как и весь мод.
Есть ли в нём фактическая уявимость? Нет, это вполне себе разрешённый риск, если ты контролируешь то, что сюда попадает.

А если ты откроешь любые к нему обращения, ну например первое куда я кликнул -

           using MySqlCommand cmd = new MySqlCommand
                        {
                            CommandText = "UPDATE alcoclubs SET alco1=@val0,alco2=@val1,alco3=@val2,pricemod=@val3,mats=@val4 WHERE id=@val5"
                        };
                        cmd.Parameters.AddWithValue("@val0", club.Value.Alco1);
                        cmd.Parameters.AddWithValue("@val1", club.Value.Alco2);
                        cmd.Parameters.AddWithValue("@val2", club.Value.Alco3);
                        cmd.Parameters.AddWithValue("@val3", Convert.ToInt32(club.Value.PriceModifier * 100));
                        cmd.Parameters.AddWithValue("@val4", club.Value.Materials);
                        cmd.Parameters.AddWithValue("@val5", club.Key);
                        MySQL.Query(cmd);
                    }
                    catch (Exception e)
                    {
                        Log.Write($"SaveAlco Foreach Exception: {e.ToString()}");
                    }

То ты увидишь нихуя себе - параметризованный и безопасный запрос.
Ну как ты, агента попроси посмотреть.

Вот те маркетплейсы, аукционы и прочая дрисня которая пишется нихуясе разработчиками тут, пиздится и выкладывается потом - вот она почти вся написана людьми которые хуй забивают на этот процесс, и там да везде не параметризованные апдейты, потому что чел клешнёй одной хуярит, как в книге десять лет назад для чайников было написано.
А в самой редаге как раз это всё заебись.

Захардкоженный логин соколянского - это не уязвимость, а антипаттерн.

Ни одной эксплуатируемой уязвимости ты не показал, ты собрал нам нейронкой пару неправильных паттернов в стиле "вижу непонятную команду - уязвимость", "вижу квери(стринг) - уязвимость)"

В целом у меня даже вопросов к нейронке бы как к инструменту не было, которая тут в каждом посте, очевидно, если ты бы хотя бы понимал что она делает, нормально.
Но тут и этого нет, это просто копипаст её резюме, даже без попытки проверить - не то что осознать
Какой тут, нахуй, профессионализм

Автор темы что скажешь на это?

 

[Inoi]

Ок, понял. Для вас любой структурированный ответ = ИИ. В целом можете дальше не продолжать, душите конкурентов.

Я показал реальные уязвимости, описал методику. Вы же только "это жэпэтэ патирни ыы" без аргументов

Бля чего то у меня аж жопа пригорела с этой хуйни


Нет не любой

Каждое твое сообщение в топике - полностью сгенерировано нейросетью за исключением пары слов и выражений и длинных тире - которые ты ручками поменял на дефисы.
Мне впадлу рассказывать про паттерны ответов нейросетки, кстати конкретно это - подредактировано хорошо, пара абзацев просто вырезана, и не так сильно бросается в глаза.

А например вот это:

Окей, по делу, ответ сразу для всех.
То что выше - реальные примеры из последнего аудита. Могу показать что именно ищу и нахожу
Что нашёл в последнем проекте:

1. 11 критических уязвимостей
2. 3 бэкдора (те самые обфусцированные команды)
3. 13 команд без проверки прав
4. SQL-инъекции
5. RCE уязвимости
6. Hardcoded логины

Типы уязвимостей которые ищу:

[Command("fajsd78fasasf")]
[Command("fasjf78das78f")]

Обычно вызывают админ-функции без проверки прав

Методы которые принимают сырой SQL

public static void Query(string command)

Небезопасное выполнение кода

mp.gui.emmit = (execute) => {
    main_browser.execute(execute); // Без валидации
}

Hardcoded логины - массивчики типа:

public static string[] LoginsDirector = new string[] { "login1", "login2" };

Проверки типа:

if (cmd && (LoginsDirector.Contains(login) || ServerNumber == 0))
    return true;

Что делаю:

1. Статический анализ всего кода
2. Проверка всех [Command] атрибутов
3. Анализ SQL-запросов
4. Проверка execute/callRemote
5. Поиск хардкод значений

Что могу показать:

• Примеры типов уязвимостей (как выше)
• Методику поиска

Скептицизм нормален, но по фактам, этим сообщением:

• Показал реальные примеры уязвимостей
• Описал методику

Если есть вопросы по методике - задавайте. Если нужны пруфы - скажите что именно.
Если конструктивная критика - готов выслушать. Если просто троллинг - не вижу смысла
P.S. Если сомневаетесь - можете дать тестовый проект, покажу что найду.

Это буквально фулл нейросетевой текст.
Это КАНОНИЧЕСКИЙ ллм-шаблон, начиная с подачи, скелета сообщения и заканчивая буквально словами-паразитами чат жпт, которых у неё в избытке.

Нет ничего плохого в том чтобы в 25 году использовать нейросети, это отличный инструмент.
Когда ты выставляешь себя "профессионалом" - а сам даже блять за свои слова ответить на форуме лично не можешь, вставляя ПОЛНОСТЬЮ блять текст нейросети - это пиздец.

Продолжать с этим спорить че то доказывая с пеной у рта в стиле

Ок, понял. Для вас любой структурированный ответ = ИИ. В целом можете дальше не продолжать, душите конкурентов.

Я показал реальные уязвимости, описал методику. Вы же только "это жэпэтэ патирни ыы" без аргументов

= быть ебланом.
Потому что ну, это же просто пиздец

А из инструментов
ripgrep/grep для поиска паттернов

Какой нахуй греп? Ты хоть знаешь что это?
Нахуй тебе вообще рипгреп и греп одновременно? Это буквально одно и то же
Ты серьёзно в 2к25 используешь КОНСОЛЬНУЮ БЛЯТЬ УТИЛИТУ для поиска текста по паттерну в сишарп проекте?
Чтобы что? Чтобы вывести результат с количеством совпадений в консоль?
Без понимания графа вызовов и контекста?
Чтобы в консоли посмотреть строчку с совпадением? Вместо иде, вместо визуалки которая щелчком выведет тебе все точки вызовов?

Да кто вообще в здравом уме использует греп для чего-то кроме поиска логов на серваках под никсами?

Ах да, знаешь кто
Нейросети
Ведь у них нет иде и контрол+ф

Но для того чтобы понять, почему нейронка эта написала и почему нельзя это вставлять сюда как свой ответ - надо хотя бы знать, что это.

 

[akudinov28]

В целом, как будто тут всё понятно. Товарищ @Inoi расписал всё по фактам. Автор мало понимает, о чем говорит.

Я бы добавил только одно еще: как по мне, захардкоженные логины владельцев проекта - антипаттерн, безусловно, но еще это намеренно оставленный бэкдор. В случае полного слива сервера остается возможность некоторым людям зайти и выполнить некоторые команды в обход данных из БД и прочего. Не очень грамотно реализованный, но всё же. Из того, что первым приходит в голову, я бы сделал так: привязал бы не логины, а scid; для этих целей завёл бы один единственный сервисный аккаунт rockstar, который бы нигде не светился; вместо проверок во время выполнения команд сделал бы одну проверку при входе и принудительную выдачу прав в случае авторизации с этого scid; обязательно предусмотрел бы в процессе двухфакторную аутентификацию; набор команд для выполнения строго ограничил бы минимально необходимыми для устранения последствий слива. В целом, намеренные бэкдоры - штука не редкая.

P.S. По поводу grep поржал, спасибо.