ChestShop Dupe Bug

Hallo,

ein weiterer ChestShop Dupe Bug hat uns gestern Abend erreicht (nun der 4. über die letzten 2 Jahren).
Dieses Mal wurde von ChestShop eine Art Overflow von Preisen nicht richtig abgefangen und insbesondere das Exception Handling äußerst schlecht modelliert. Nach Lesen des Quellcodes komme ich zu dem Schluss, dass in diesem besonderen Fall zuerst der Kontostand des Spielers, der etwas kauft überprüft wurde, und wenn dort eine Exception geflogen ist, die Überprüfung ob das zu verkaufende Item überhaupt in der Truhe ist übersprungen wurde (default return true...).

Somit konnte man ein ChestShop Schild aufstellen, auf dem man als Preis "1EB10000000" angegeben hatte wurde ein BigDecimal mit diesem Wert angelegt und bei der Datenbanktransaktion (da diese großen Werte dort nicht unterstützt werden) beim Konvertieren des BigDecimals in ein double eine Exception geworfen. Insbesondere wurde der Check, ob das zu verkaufende Item überhaupt in der Truhe ist übersprungen und man kann "praktisch" beliebige "AdminShops" aufstellen.

Beispiel:

Code:

Line 1:
Line 2: 64
Line 3: 1EB10000000 
Line 4: Diamond Block

würde ein Schild erstellen bei dem man sich beliebig oft kostenlos 64 Diamantblöcke ercheaten kann.
Nach dem Bekanntwerden des Exploits haben wir den Server auf Whitelist gestellt, die Bug Abuser gebannt und deren BlockChanges komplett resettet (Diamantblockhäuser auf der SV kommen ned so gut ). Ebenso wurden die Shop-Logs geparsed und alle Diamantverkäufe an die Shops rückgängig gemacht.

Wir haben mittlerweile den ChestShop Bug beseitigt und sind somit vor diesem Exploit sicher (bis zum nächsten ChestShop Bug, versteht sich).
Habt ihr noch Dias oder andere Items von den Bug Usern bekommen ist es natürlich eure Pflicht dieses zu melden und auszuhändigen.
2 (Stamm)user mussten uns aus diesem Grund leider gestern ebenso verlassen, da sie versucht haben Doppelkistenweise Dias in ihren Häusern zu verstecken und diese nicht ausgehändigt haben.

Ansonsten halten sich nach meinem Ermessen die Schäden in Grenzen.
Die Bug User waren btw eine Gruppe von ca. 7 Personen die (wohl) gezielt nach einem verwundbaren Server gesucht haben um den Bug zu benutzen und ein wenig Aufruhr zu erzeugen. Ich bin niemandem böse, da kein großer Schaden angerichtet wurde.
Endlich mal wieder was los, mh?

Lg hellboyPS

 

Denke nicht.

 

Ich hab das alles nicht ganz so mitbekommen .... Kannst du mir erzählen welche Stammspieler gebannt wurden ?

 

Nö.

 

Immer diese Neugier. xD