《梦幻模拟战》漏洞挖掘全过程

WeTest 导读

漏洞和外挂一直是危害游戏的罪魁祸首,在游戏行业发展的历程中,不乏一些经典热门的游戏在安全事故中失去江湖地位。不重视游戏安全的结果,不仅让制作人员的心血毁于一旦,更痛失万千玩家的热爱。在如今手游盛行的时代,如何正视手游安全,最大化的减少安全事故的发生概率,请跟随本文一起探索。 

梦幻之源—《梦幻模拟战》手游的前世今生

《梦幻模拟战》系列作为经典的日式战棋游戏,自1991年初代作品发布至今在老一辈中国玩家心中有着极高的地位。2018年初紫龙游戏正式推出日式王道幻想大作《梦幻模拟战》的手游版本,延续原作经典的SRPG玩法,开创战棋游戏实时玩家对抗。

自2018年8月上线appstore至今,《梦幻模拟战》手游始终保持在游戏畅销榜前Top20的位置。畅销榜上有很多手游都有潜在的安全问题,排名越是靠前,热度越高,越是会让外挂工作室和黑客趋之若鹜。他们在各种利益的诱导下,对游戏进行技术破解、利用外挂获取收益,让游戏遭遇公平性的丧失,玩家的游戏乐趣遭受破坏,直接导致制作厂商的经济利益遭受损失。

《梦幻模拟战》的发行方紫龙游戏,对此类风险有着非常超前的认知,在产品正式上线前,就与WeTest的手游安全团队进行对接。通过WeTest提供的手游安全测试,主动挖掘游戏业务安全漏洞,用来提前暴露游戏潜在的安全风险,这样不仅能最大程度降低事后外挂的危害,更有效降低外挂的打击成本。  

量体裁衣——量身锻造的安全漏洞挖掘方案

- 深度分析 -

        手游的使用场景与传统APP有着巨大的差异,不同的游戏玩法, 技术实现都不一样,因此手游安全测试团队需要对每一个游戏,都从零开始研究游戏内部实现架构。

        首先,WeTest手游安全团队对游戏的构成做了分解,《梦幻模拟战》的开发游戏引擎为Unity3D,游戏核心逻辑由 C#脚本实现,游戏类型属于SRPG。其中,游戏的核心玩法包括 PVP 和 PVE 战斗、经济系统、英雄系统等。

        其次,经过对战斗过程中服务器与客户端间通信协议的分析,安全团队了解到该款游戏的战斗实时性要求非常高,所有的操作都有协议上报。PVE战斗采用的是客户端结算上报,服务器校验的形式。

- 实现方案 -

        结合以上特性分析,安全团队最终确定,本次手游安全测试主要采用协议进行漏洞挖掘,使用函数和内存渗透测试的方法进行辅助。针对游戏的当前运营状态,精准的制定了本次安全测试项目目标:对《梦幻模拟战》的经济系统、战斗系统、装备系统、英雄系统、活动任务、社交系统,针对性地挖掘影响面比较大的漏洞,暴露游戏中潜在的安全风险,最大程度降低游戏运营中的外挂影响和打击成本。

最终效果

手游安全团队共发现了3个致命漏洞,1个高危漏洞,4个中危漏洞,并准确定位这些漏洞产生的原因,同时提供了修复漏洞的专业意见。开发商也快速响应并及时修复了问题,一起将隐患消除。《梦幻模拟战》的技术负责人表示:“外挂问题一直是紫龙在做游戏过程中要跨越的雷区,SRPG的游戏玩法和游戏内容都非常多,非常需要专业的安全团队来对游戏进行一个全方位的检测,WeTest手游安全测试为《梦幻模拟战》正式开启不删档,创造安全、公平、健康的游戏环境提供了坚实支撑和保障。”

关于WeTest手游渗透测试

手游渗透测试(Security Radar)为企业提供私密安全测试服务,通过主动挖掘游戏业务安全漏洞(诸如钻石盗刷、无敌秒杀等40多种漏洞),提前暴露游戏潜在安全风险,提供解决方案及时修复,最大程度降低事后外挂危害与外挂打击成本。该服务为腾讯游戏开放的独家手游安全漏洞挖掘技术,杜绝游戏外挂损失。

产品优势

1. 预知风险并修复,提前挖掘漏洞,并提供修复方案,让外挂无机可乘。

2. 专注游戏,支持Unity3D、UE4、Cocos2D等主流引擎的游戏,从游戏通信协议、客户端函数安全、脚本逻辑、内存安全、静态资源安全等多个维度挖掘业务安全漏洞。

3.专家团队,工程师来自腾讯IEG手游漏洞测试团队(SR安全雷达团队),具有极为丰富的实战经验,曾服务过腾讯自研、累积服务产品版本700+,使用行业独创渗透测试方案提供专业级服务。

4. 星级标准,腾讯游戏6星级质量标准,获得与《王者荣耀》、《穿越火线-枪战王者》、《龙之谷》等腾讯顶级手游同等测试服务品质。

5. 方便安全,无需接入SDK,对游戏本身无影响;保证产品高度私密性,不公开任何漏洞细节。

除外,WeTest平台于近期升级了手游安全的解决方案,推出了包括服务器宕机检测、手游加固、反外挂及手游安全扫描等服务。

点击“阅读原文”即可体验。

如果使用当中有任何疑问,欢迎联系腾讯WeTest企业QQ:2852350015

原文发布于微信公众号 - 腾讯WeTest(TencentWeTest)

原文发表时间:2018-12-14

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏SDNLAB

软件定义时代的数据中心安全

据IDC预测,从2010年到2020年数据总量将从4.4兆GB成长到44兆GB,作为数据信息资源集散地的数据中心表示压力山大。 有数据显示2018年35%的消费...

3204
来自专栏WeTest质量开放平台团队的专栏

三年同行,质造未来,腾讯WeTest五大服务免费体验

原文链接:https://wetest.qq.com/lab/view/414.html

1014
来自专栏CDA数据分析师

译文|暗数据:企业的潜在威胁!

近年来有几个趋势对企业的影响就像大数据那般显著。各类规模和形态的公司在近几年都陆陆续续以极大的热情步入大数据时代,因为他们都意识到了大数据对他们的公司会有怎样的...

2086
来自专栏WeTest质量开放平台团队的专栏

四大维度,七大案例,腾讯WeTest发布《手游测试实战手册》

2017年4月,UP2017腾讯互动娱乐年度发布会在京举办,公布了31款新品游戏的发布计划,其中手游19款,占60%之多,可见手游市场中成熟品类的上升空间仍未见...

1202
来自专栏Java学习网

移动应用开发的五个致命的神话

虽然手机应用程序开发不再是新的,仍然有许多误解应用发展。一些信仰只不过是被误导的,别人是错了。 当企业和企业家把时间和金钱浪费在没有人使用的应用程序,通常因为他...

2829
来自专栏人称T客

企业移动化为什么要调研先行?

常言道,“兵马未动,粮草先行”,前期调研是企业移动信息化项目成功的保障,而往往企业会忽略这一点,甚至有些企业在不清楚需求的情况下,就盲目启动移动信息化项目,这样...

34811
来自专栏知晓程序

你平时看到的是假新闻吗?这个博士做的小程序,能帮你查一查 | 晓组织 #23

过去十几年,我的人生基本都在和新闻打交道——在北大读新闻,在《南方周末》当记者,然后又到美国读博士,研究新闻传播。

1173
来自专栏云计算D1net

云应用程序开发人员面试应该考虑的6个问题

由于云计算提供了新的灵活性和可扩展性,它也改变了组织开发和部署软件的方式。因此,也促进了人们积极开发新品种的云计算应用程序。 作为一个软件开发者,在其职业生涯中...

38913
来自专栏智能计算时代

扩大物联网对电信企业构成重大挑战

扩大物联网对电信企业构成重大挑战 ? 物联网(物联网)如何影响电讯业?最初出现在Quora:获得和分享知识的地方,赋予人们从他人那里学习,更好地了解世界的地方。...

2743
来自专栏Rainbond开源「容器云平台」

案例|某大型金融数据公司利用Rainbond实现应用交付的提质增效

某大型金融数据公司(以下简称“公司”)核心为银行、保险、消费金融、信贷、互金等行业客户提供全套数据服务和解决方案,帮助此类对数据安全要求极高的客户将数据决策转化...

38410

扫码关注云+社区

领取腾讯云代金券