続きです。

まずは、一通りのページにて、HTMLのソースを眺めていく。
すると、アイテムの能力の具体的数値がそのまま入っていることが判明。
通常、あいまいな色でした表示されていなかったものです。
内部の数値をもとにJavaScriptで色付けを行っているようです。

そんで、アイテムは成長していくのですが、成長後の能力値も先読み可能でした。
(成長値は固定なのでだいたいはまとめサイト的なとこで書かれていますが、新しいものは当然ない。)
アイテムは画像で表示されていて、ある程度の能力値はその画像にグラフで書かれています。
はじめが***0.gifであれば、成長していくと0が1,2,3...となっていくわけでして、
単純にその先の画像にアクセスすれば、そのグラフを読み取ることが可能。

その画像を見ていて、さすがに無理だろうと思いつつ、ファイル名削ってディレクトリにアクセス。
「index of hogehoge」
・
・・
・・・
え゛
画像見放題でした…
どうでもよいボタン用画像や、全アイテム画像が…
とくにアイテムは、まだ登場していないものも用意してあったり。
基本的に画像だけでしたが、ディレクトリを上にたどっていくと
Indexeで見れる一番上にはメンテナンス中の表示に使っているphpなどが置いてあり
そのなかに、dataというディレクトリが…
！？
そのなかには6個にxmlファイルが置いてありました。
中身を失礼すると、各アイテムなどのパラメータが大量に記載されていました。
当然、表向き書いていない(htmlソースにも)謎のパラメータもある始末。
ひゃっほー
とりあえず、見れるうちにとwgetですべて手元に頂きました。
このdataディレクトリはしばらくしたら消えていました。
中のxmlも最新のアイテムが記載されていなかったことから、
ゲーム中直接参照しているデータではないようです。

このような始末なので、かなり甘々かと思い、GETやPOST値をいじっていく方向へ。
しかし、意外と何も起こりません。
すべてにおいて、想定されたエラーページが返ってきます。
まぁ僕もセキュリティーに詳しい人間ではないのでかなり単純なことしかできていませんが…。
ようやく(いじり始めてから2週間後)、一部バグを見つけました。
とある項目に入れるアイテム、GET値の番号で指定しているのですが
自分の持っていない数値を入れても通ることが判明。
軽く試して使えることもテストしました。
ただ、自分のステータスでそのアイテムを見ようとするといつものエラーが返ってくる。
で、しばらく様子を見ようかとそのままにしていると、自分のいるサーバーの処理止まってました…。
はっきり断定はできませんが、9割僕のせいです。
次の日の処理で直ってはいましたので、最悪の事態は避けられたと思います…
ちなみに、その項目にそもそもアイテムとして存在しない番号を入れても通ります。
この場合、ステータス画面は変数名がずらっと並ぶバグっぷり。
さすがにあからさまなのですぐ戻しました。

続く…