谨防来历不明的代码与插件 或恶意删除装备
在需要插件或是使用WA/TMW等需要自己导入字符串时,来历不明、自己不能确定用途的插件、字符串请不要乱用。
下载插件请在正规的渠道上下载。
惊讶之余想想觉得这手段似乎可行,自己也想出了可能的招式。
于是刚刚做了个小测试,自然就是在WA2的触发里写上构造好的恶意代码,导出字符串,之后导入到别的角色:
Weakauras会提示有自定义代码并可以查看具体内容,遇到这种情况一定要小心!不确定的话就不要导入!
关于我的自定义代码内容,基本上就是进入战斗之后,拦截你的所有密语,如果拦截到特定的密语就隐藏掉并执行功能,其他的密语放过并正常显示。 成功加入拦截功能后,聊天窗显示“FILTER_ADDED”,接收到特定的密语之后,聊天窗显示“ACCEPTED”。
首先我给我的萨满搞了一件需要输DELETE才能摧毁的肩膀:
然后跑到要塞去打木桩,进入战斗后触发了我的恶意代码(而且其他功能还是正常的):
当然真正给你代码的混蛋是不会这么好心给你提示的。
这时用小号给大号密语一下设定好的内容:
你可以听到咣当一声响,然后肩膀就消失了,然后并不会触发密语的音效,也不会显示密语的内容,由于我一直挂在木桩上,所以一直是战斗中:
就和之前说的一样,显示ACCEPTED表明执行成功。
这只是删一件肩膀,简单增加一个全身装备遍历,你的所有装备除了无法摧毁的神器都可以瞬间灰飞烟灭。
甚至,我可以加入参数,发不同的内容删你不同的部位。
而你不一定能想到,只是导入了“朋友”给你的Weakauras 2字符串。他就获得了远程删你装备的超级权限……
所以一定要小心……
看到这里,小编只能再次提醒各位玩家:
做伸手党要小心,谨防来历不明的插件以及字符串。