09/08/12 18:18:00 ZGi3P7da
セッションハイジャックの可能性はないかね。
公式からログインしたあと、ブラウザのアドレスに javascript:document.cookie; って入力すると表示される文字列の
GPSESSIONID=のあとの16進32桁固定の数値。
playnclauncher.exeのショートカット作ってプロパティ開いてリンク先を↓のように書き換えて
C:\Program Files\PlayNC\PlayNCLauncher\playncLauncher.exe" /GameID:PlayNCLauncher /StartGameID:AION_JP /LUpdateAddr:uis.plaync.jp/UniUpdTool /BannerUrl:HURLリンク(launcher.plaync.jp) /SessKey:
の後ろにGPSESSIONIDの16進32桁の数値をくっつけると起動できる。
GPSESSIONIDはログアウトするか、ブラウザを終了させるとクライアント側は破棄されるけど、AION鯖側は最低2時間ぐらい保持されるのでログアウトしてても上記の方法でログイン可能
AIONプレイし続けると2時間を超えて保持されるのかは試してないのでわからない。
GPSESSIONIDはログインする度に生成されて、生成された全てのGPSESSIONIDは生成されてから2時間ぐらい保持される。
具体的な数値は
AAAAAABBBBBB de1186a200145ebde075 って感じで de以降の数値は何度ログインしても日にちまたいでもIP変えても固定だった。(PC1台で調べた)
A6桁はランダムっぽい、Bの戦闘2桁は 秒数で加算されてるっぽい、 その次の2桁は3~5分経過すると加算されてるっぽい その次の2桁は日にち変わると変わるっぽい
先頭から8桁とかだと42億通りとかありえないなぁとおもったけど
@IT Webアプリケーションに潜むセキュリティホール(3)
URLリンク(www.atmarkit.co.jp)
↑こことか見るとやれるんじゃねって気がしてきた。