游戏外挂的泛滥对玩家和开发者造成了哪些危害?是否有提前揭露外挂风险的方法?

黑色技术黑色技术提问于
狼人老沙回答于

来源:腾讯手游如何提早揭露游戏外挂风险?

为了帮助项目在发布前发现并修复安全问题,在游戏版本转功能测试的阶段SR手游安全专项测试就介入。

提早揭露安全漏洞,可以帮助项目在开发阶段进行安全对抗和策略加固,避免在项目运营时,与外挂对抗的被动局面。同时,也从根本上降低了外挂带来的玩家流失和运营损失。

专家测试

根据手游安全测试的需求,主要涉及到手游项目中的测试范围及测试内容的规定。提供专家手游安全测试服务,会有腾讯内部的手游安全测试专家进行测试、问题沟通跟进、处理优化检查等等。

  1. 测试设计,根据相应游戏的内容进行测试设计,找出游戏中的获利点,结合SR安全检查项,可以对游戏的内容进行完整覆盖
  2. 专家互评,对风险检查点进行查漏补缺,保证完整覆盖
  3. 测试执行,依据风险检查点,使用SR工具执行测试检查,主要进行函数修改、协议修改、内存修改、变速、脚本修改、静态漏洞扫描
  4. 提交漏洞,测试专家按照SR漏洞模板提交漏洞,依据《漏洞评级标准》进行漏洞定级和内容的审核
  5. 安全报告,由安全专家根据发现的问题和游戏整体对安全性进行评估并输出安全测试报告
  6. 漏洞回归,漏洞修复后,从新提交修复版本进行回归,SR评估漏洞修复情况并反馈结论

自动化测试

  1. 宕机漏洞扫描服务,通过智能分析协议来填充模糊测试case,发送到服务器,测试服务器的可靠性、健壮性
  2. 协议/函数风险扫描,通过AI算法学习安全风险模型,读取游戏函数、协议数据后进行智能分析,具备2小时输出安全测试报告的能力

SR手游安全测试团队将审核的内容分为静态安全漏洞和动态安全漏洞。不同类型的问题测试思路和分析手段会有不同,对测试工具和测试方法也会有差别。

静态漏洞扫描

主要通过静态扫描的方式,对游戏apk中配置档、资源文件、脚本文件、manifest.xml、so文件,通过自动扫描的方式来进行检查项的确认。(目前此块内容已集成到SR手游安全测试方案中,覆盖了120+条安全检查项和信息安全测试项)

动态风险分析

动态安全测试涉及的内容广泛,主要是根据游戏特定的内容和玩法,针对性地分析安全风险点,通过协议、函数、内存、脚本等技术,多维度检查游戏服务器对相应的风险点是否有完善的校验或反外挂策略。

回答过的其他问题

我想注销现在这个腾讯云账号,应该走什么流程?

就像邮箱一样,注册了一个不好听的名字,想销掉,但却只能重新开一个新账号。目前貌似没有支持注销的功能,估计以后各大网络公司都会被强制要求上架注销功能,毕竟用户有消除自己数据的权利,为什么网站不提供这个入口呢?

支持的请点赞。

AI领域无监督学习有哪些难点?

对于无监督学习领域。我只能回答这个领域才刚刚起步。而当下无监督领域流行的算法相比有监督学习来说差别很大。机器学习目前还在有监督学习阶段发展,不过目前有慢慢向无监督学习发展的趋势,从而出现了半监督学习。比如康奈尔大学研究出的半监督学习的方法:主要是结合贝叶斯和对抗生成网络提出来的。...... 展开详请

微服务架构中不同服务之间是如何通信的?

image.png 一般来说。传统的架构风格是将应用程序作为一个整体进行开发。这样的架构风格在开发过程非常容易而且不同模块之间通信十分方便,只需要一个简单的函数就可以实现。但是这也存在很多缺点,比如,这样的应用在开发之后很难进行维护。如果业务需求有所变化很难有所调整。 于是微服...... 展开详请

NoSQL和Hadoop之间的关系是什么?

Hadoop是一个处理和存储巨大数据集的框架。Hadoop主要由俩部分组成:处理单元和存储单元。而MapReduce就是Hadoop的一个编程模型,主要用于处理存储在Hadoop框架中的大量数据。在完全分布式或伪分布式群集中安装Hadoop时,MapReduce主要是作为服务使用...... 展开详请

NAS与CFS的优势区别及应用场景?

不同类型的游戏有哪些不同游戏云方案?

楼主既然提到了不同种类的游戏,那就先看看MMORPG游戏吧:因为MMORPG这种大型游戏,一方面需要低时延,另一方面浏览页面的加载对速度的要求也很高,其次还有批量开服合服的操作,最重要的是面临各种流量攻击等安全问题也是最多的。 对此,要想保证这几个要求,云服务器的部署就应该稳定可...... 展开详请

关于作者

所属标签

扫码关注云+社区

领取腾讯云代金券