MOTOR DE ANÁLISE LUA v2.1 — ATIVO

Seu servidor OT tem vulnerabilidades que seus jogadores já conhecem.

OTGuard analisa o código-fonte dos seus scripts Lua, detecta exploits, backdoors e lógicas perigosas antes que alguém os abuse. Auditoria automática para TFS, OTX2 e forks custom.

Analisar meu servidorVer como funciona
TFS 0.4TFS 1.xOTX2Custom Forks
otguard — scan terminal
$ otguard scan --engine tfs1x ./servidor-baiak.zip
→ Descompactando arquivo... 847 arquivos encontrados
→ Engine detectada: TFS 1.x (rev. 3777)
→ Carregando 12 regras de análise...
→ Analisando data/scripts/... 341 arquivos Lua
⚠ weapons/exori_gran_hur.lua:47 — UNCHECKED_DAMAGE_CALC
✗ data/lib/database.lua:203 — SQL_INJECTION_RISK [ALTO]
⚠ actions/use_potion.lua:112 — STORAGE_RACE_CONDITION
⚠ creaturescripts/login.lua:78 — INFINITE_LOOP_RISK
→ Análise concluída em 3.2s
→ Score de Segurança: 64/100 — Grau C+
→ Relatório disponível no dashboard ↗
1 crítico 2 altos 1 médio3.2s · 847 arquivos
12+
Regras de análise Lua
4
Engines suportadas
400+
Padrões de exploit mapeados
<5s
Tempo médio de análise
EXEMPLOS DE DETECÇÃO

O que o OTGuard encontra no seu servidor

Esses são padrões reais que existem em dezenas de servidores OT ativos. O motor analisa cada arquivo Lua em busca de lógicas exploráveis.

weapons/exori_gran_hur.lua·linha 47
Cálculo de dano sem validação de limites
CRÍTICO
código problemático
47local dmg = math.random(baseDmg, casterLevel * 12)
48-- sem verificação de overflow ou limites
49doCreatureAddHealth(target, -dmg)

O dano é calculado diretamente a partir de um parâmetro do jogador sem validação superior. Um cliente modificado pode enviar valores negativos, invertendo o dano para cura infinita.

Impacto:Crash do servidor / Invulnerabilidade de jogador
regra: UNCHECKED_DAMAGE_CALC
actions/use_potion.lua·linha 112
Race condition em storage de cooldown
ALTO
código problemático
112if getPlayerStorageValue(cid, STORAGE_CD) < os.time() then
113 doPlayerAddItem(cid, ITEM_REWARD, amount)
114 setPlayerStorageValue(cid, STORAGE_CD, os.time() + 2)

O cooldown é verificado e definido em operações não-atômicas. Com timing preciso, é possível consumir múltiplos itens em um único tick, quebrando a economia do servidor.

Impacto:Duplicação de itens / Economia quebrada
regra: STORAGE_RACE_CONDITION
data/lib/database.lua·linha 203
Concatenação direta em query SQL
ALTO
código problemático
203local query = "SELECT * FROM players WHERE name = '" .. name .. "'"
204local result = db.getResult(query)

O nome do personagem é inserido diretamente na query sem escape ou prepared statement. Permite injeção de SQL via nome de personagem custom.

Impacto:SQL Injection / Extração de dados / Wipe de banco
regra: SQL_INJECTION_RISK
creaturescripts/login.lua·linha 78
Loop sem condição de saída garantida
MÉDIO
código problemático
78local slot = 1
79while getPlayerSlotItem(cid, slot).itemid ~= 0 do
80 -- sem incremento garantido em todos os casos

Iteração sobre inventário do jogador usando while sem condição de saída explícita caso o slot retorne nil inesperadamente. Pode causar timeout ou crash do LuaJIT.

Impacto:Crash do servidor / Lag severo
regra: INFINITE_LOOP_RISK
ESCOPO DE ANÁLISE

O que é analisado

Cada categoria tem regras específicas de detecção, calibradas para o comportamento esperado de servidores TFS e compatíveis.

Lua Scripts

  • weapons/
  • spells/
  • movements/
  • actions/
  • creaturescripts/
  • globalevents/

Lógica de Jogo

  • Cálculo de dano
  • Sistemas de cooldown
  • Drop/loot tables
  • Formulações de spell

Segurança de Dados

  • Queries SQL
  • Manipulação de storage
  • Acesso a arquivos
  • Chamadas de sistema

Vetores de Exploit

  • Item duplication
  • Speed hacks
  • Damage overflow
  • Memory leaks em Lua
FLUXO DE ANÁLISE

Como o motor funciona

Da estrutura bruta de arquivos ao relatório de segurança em menos de 5 segundos.

01

Upload do código-fonte

Envie o .zip do seu servidor. O motor extrai e indexa todos os arquivos Lua, XML e configs em memória.

Suporte a servidores com até 2 GB de código-fonte. Processamento paralelo por diretório.
02

Análise estática Lua

Cada arquivo .lua é analisado com 12+ regras de detecção. O motor identifica padrões de exploit, race conditions e SQL injection.

Parse real de AST Lua via tree-sitter. Não é análise por regex — entende a estrutura do código.
03

Score + Relatório

Cada finding é classificado por severidade e impacto. O score final é calculado por 4 dimensões com peso por criticidade.

Score ponderado: Segurança 40%, Performance 25%, Confiabilidade 25%, Código 10%.
COMPATIBILIDADE

Suporte multi-engine

Cada engine tem arquitetura, funções Lua e estrutura de dados diferentes. O OTGuard adapta as regras de análise para cada uma.

TFS 0.4

3 críticas
Suporte completo
  • Lua 5.1 (LuaJIT)
  • XML data/
  • OTB items
  • db.executeSql legado

TFS 1.x

5 críticas
Suporte completo
  • Lua 5.4
  • monsters/ XML
  • Mapa OTBM
  • Events API moderna

OTX2 / OT 0.3

4 críticas
Suporte completo
  • Funções OTX exclusivas
  • Custom item slots
  • Libs adicionais
  • Anti-cheat hooks

Custom Forks

adaptativo
Análise adaptativa
  • Detecção automática de base
  • Regras heurísticas
  • Análise de padrões
  • Score por similaridade
SISTEMA DE SCORE

Uma nota clara para o estado do seu servidor

O score não é só um número. Cada dimensão tem peso diferente e reflete um aspecto real do risco operacional do servidor. Um server com nota A pode ter scripts lentos, mas é seguro. Um server com nota D está comprometido.

Segurança
40% do score72
Performance
25% do score88
Confiabilidade
25% do score65
Qualidade de Código
10% do score91
Security Grade
C+
76/100
4 findings · 1 crítico · 2 altos
A+
95–100
A
85–94
B
75–84
C
60–74
D
40–59
F
<40
POR QUE ISSO IMPORTA

Servidores Open Tibia são alvos reais

A maioria dos scripts OT foi escrita por desenvolvedores sem treinamento em segurança. Forks mudam de mão. Código é copiado de fóruns sem revisão. O resultado é previsível.

Scripts copiados de fóruns

A maioria dos servidores usa código de fóruns OT que nunca foi auditado. Exploits ficam latentes por anos até alguém decidir abusar.

Dupes e crashes constantes

Race conditions em sistemas de cooldown e loot são a causa mais comum de duplicação de itens. Geralmente visível apenas depois do estrago.

Backdoors em forks custom

Servidores que usam código de terceiros frequentemente contêm backdoors inseridos por ex-desenvolvedores. O OTGuard detecta padrões suspeitos.

PLANOS

Simples e transparente

Sem cobrança surpresa. Cancele quando quiser.

Free

Para explorar a plataforma

R$ 0/mês
  • 1 servidor monitorado
  • 5 scans por mês
  • Score básico (A–D)
  • Regras públicas
Criar Conta
RECOMENDADO

Pro

Para servidores em produção

R$ 49/mês
  • 5 servidores
  • Scans ilimitados
  • Score detalhado + histórico
  • Monitoramento em tempo real
  • API access + webhooks
  • Suporte por email
Começar Pro

Enterprise

Para redes e hosts

R$ 199/mês
  • Servidores ilimitados
  • Scans ilimitados
  • Regras customizadas
  • Score + alertas automáticos
  • SLA + suporte dedicado
  • On-premise (self-hosted)
Falar com Vendas

Quantas vulnerabilidades seu servidor tem agora?

A maioria dos donos de server só descobre quando um jogador abusa. Crie sua conta, suba o código, receba o relatório em segundos.

Analisar meu servidor agoraJá tenho uma conta

Sem cartão de crédito · Conta gratuita · 5 scans/mês incluídos