Злом веб-додатків та ігор | JS Injection

  1. Злом веб-додатків та ігор Злом веб-додатків та ігор - тема сьогоднішнього обговорення. Багато з...
  2. Злом веб-додатків та ігор | висновки

Злом веб-додатків та ігор

Злом веб-додатків та ігор - тема сьогоднішнього обговорення. Багато з нас хоч раз грали в гру через браузер, іноді навіть дуже тривалий час. Ми з друзями часто граємо в Telegram і сьогодні ми розберемося, як швидко побити рекорди друзів, а також отримати бажане.

Те, що ми будемо робити насправді не можна назвати зломом, так як ми нічого не отримуємо, крім ігрових переваг. Все, що насправді ми робимо називається javascript injection.

Прикладом для нас послужить гра під назвою Kicker King з Telegram. На її прикладі ми отримаємо 20000 очок за допомогою всього 1 кидка. Взагалі в грі 1 кидок - 1 бал.

Злом веб-додатків та ігор | Практика javascript injection

Для початку нам потрібно зайти в веб-версію самого Telegram і запустити гру. Це потрібно для того, щоб ми могли побачити і знайти потрібний нам метод в js файлі, який підключений для роботи програми.

Після запуску гри заходимо в вихідний код фрейма, якщо гра відкрилася на повний екран, не у фреймі, то заходимо в вихідний код сторінки.

Скрипти підключаються як в самому верху, так і внизу сторінки, найчастіше скрипт гри знаходитися внизу. Рідкісні випадки, коли ігровий javascript файл підключають вгорі.

Відкривши код гри, яку ми використовуємо для прикладу і перегорнувши сторінку вниз ми бачимо ось такі підключені скрипти.

Відкривши код гри, яку ми використовуємо для прикладу і перегорнувши сторінку вниз ми бачимо ось такі підключені скрипти

Подивившись на них, можна відразу зрозуміти, що нам потрібен GameUI.min.js. Код мініфіцірован, його нереально читати, прибираємо .min і отримуємо нормальний код GameUI.js. Однак тут варто згадати, що не завжди на сервері зберігатимуться такий варіант. Проблеми тут немає, виділяємо весь код і йдемо на будь-який Beautify JS сайт.

Щоб здійснити злом веб-додатків та ігор нам потрібно знайти ту ділянку коду, який відповідає за оновлення ігрових балів, в даному випадку. Взагалі, у випадку з іншими веб-додатками, веб-іграми це може бути інший ділянку коду, наприклад Coins, Radius, Scale, Points або Health. Загалом, все що душа забажає.

Щоб довго не шукати, вводимо в пошуковику Score і шукаємо те, що нам потрібно.

Щоб довго не шукати, вводимо в пошуковику Score і шукаємо те, що нам потрібно

Як ви бачите, ми знайшли метод відповідає за оновлення балів. Копіюємо його і в потрібний нам момент запускаємо в Console.

gameUI.updateScore (n)

n - кількість очок, які ви хочете отримати.

Дана консоль перебувати в інспектора елементів, пункт може називатися "переглянути код елемента", залежить від браузера.

Все, тепер можемо програвати, всі очки зберігаються і відображаються в загальному списку результатів.

Все, тепер можемо програвати, всі очки зберігаються і відображаються в загальному списку результатів

Злом веб-додатків та ігор можна здійснити і підміною js коду, завантаживши локально свій файл. Для цього можна скористатися плагіном, в Google Chrome це Resource Override. Такий метод може стати в нагоді якщо на сайті використовується функція замикання. У такому випадку через консоль нічого змінити не вийти, в загальному оточенні змінних js нам нічого не доступно і щось робити через консоль марно.

Злом веб-додатків та ігор | висновки

Як ви вже зрозуміли js injection досить серйозний інструмент для WEB. З його допомогою можна не тільки зламувати веб-додатки та ігри, а й багато іншого, наприклад красти дані. Робити я цього нікого не закликаю, так як це буде вважатися протизаконною дією і тільки ви несете відповідальність за заподіяну вами шкоду.

Не використовуйте даний метод для обману, робіть все собі в задоволення і заради самоосвіти.

Сьогодні ми поговорили про те, як зламати веб-додатки та ігри. Якщо вам сподобалася стаття, залишайте свої коментарі, підписуйтесь на оновлення сайту, а також наш Telegram .

IRC (Internet Relay Chat)