Начинающий
- Статус
- Оффлайн
- Регистрация
- 13 Фев 2026
- Сообщения
- 635
- Реакции
- 17
Многие админы приваток Cabal Online до сих пор верят, что их самописные веб-морды в безопасности. На деле же, большинство серверов всё еще страдают от примитивных SQL-инъекций в эндпоинтах, которые напрямую взаимодействуют с игровой базой.
Суть проблемы в том, что структура баз данных Cabal (schemas) лежит в открытом доступе годами. Зная названия таблиц и колонок, атакующему достаточно найти одну кривую форму регистрации или личный кабинет, чтобы получить полный контроль над данными игроков.
Что можно провернуть через SQLi:
В качестве примера разберем работу с основной таблицей персонажей:
Вместо попыток скрыть структуру БД (security through obscurity), админам стоит наконец начать использовать параметризованные запросы. Если вы держите сервер или кодите под Cabal, проверяйте каждый веб-компонент, который лезет в MSSQL. Базы большинства серверов — это открытая книга для тех, кто понимает, куда вставлять кавычку.
Короткая демонстрация того, как это работает на практике:
Интересно, сколько еще популярных приваток можно вынести этой паблик-схемой, пока владельцы тратят деньги на защиту от DDoS вместо фикса дырок в коде.
Суть проблемы в том, что структура баз данных Cabal (schemas) лежит в открытом доступе годами. Зная названия таблиц и колонок, атакующему достаточно найти одну кривую форму регистрации или личный кабинет, чтобы получить полный контроль над данными игроков.
Что можно провернуть через SQLi:
- Редактирование уровня, характеристик и класса персонажа.
- Смена нации и фракции без ограничений.
- Начисление любой игровой валюты напрямую в базу.
- Повышение прав аккаунта до уровня администратора.
- Манипуляция экономикой сервера вплоть до полного вайпа.
В качестве примера разберем работу с основной таблицей персонажей:
Код:
cabal_character_tableВместо попыток скрыть структуру БД (security through obscurity), админам стоит наконец начать использовать параметризованные запросы. Если вы держите сервер или кодите под Cabal, проверяйте каждый веб-компонент, который лезет в MSSQL. Базы большинства серверов — это открытая книга для тех, кто понимает, куда вставлять кавычку.
- Используйте исключительно параметризованные SQL-запросы.
- Настройте строгую сепарацию прав доступа к БД (веб-юзер не должен иметь прав на DROP или широкие UPDATE).
- Регулярно проводите аудит кода веб-панелей.
- Предполагайте, что атакующий уже знает вашу схему базы данных.
Короткая демонстрация того, как это работает на практике:
Интересно, сколько еще популярных приваток можно вынести этой паблик-схемой, пока владельцы тратят деньги на защиту от DDoS вместо фикса дырок в коде.