展开

关键词

从《火影忍者OL》看腾讯手安全全周期解决方案

相对于过程中的其问题,由于手安全测试的门槛较高,市场上绝大多数的手者都无法主动高效的提前处理手潜在的安全风险。 一些手者会抱着等出问题之后再去修复的想法,而等到问题出之时,往往为时已晚,安全问题已对的收入、口碑已经产生很大的影响。? 外挂存在的原因主要为两个方面,一方面来自在研过程中未能和修复的业务安全,此类一旦被利用,往往存在高收益的特性,因此危害容易在外网环境下快速扩张。 注:以上所示已脱敏且均已修复从等级来看:该版本共6个致命,9个严重。从风险类型来看:服务器Crash 6个,越权相关6个,其如客户端恶意攻击、变速修改、刷属性等各1个。 该项服务是一种基于缺陷注入的自动软件测试技术,完成数以万计的检查任务,软件中不期望有的的行为,通过快速注入变异样例,对协议接口进行fuzz覆盖,自动服务器异常,宕机类

34630

陌生人邀请我加入CS:GO,我一接受就被盗号

△黑客远程调用被攻击电脑的计算器据白帽子黑客组织Secret Club称,存在于CS:GO使用的起源引擎里,两年前就已报告给制作商V社。 在只能确定CS:GO里还有这个,军团要塞2已修复,其它使用起源引擎的情况不明。? V社懒得很两年前Secret Club成员这个时就提交到全球赏金平台HackerOne上。公司可以在这个平台布悬赏奖励给在们的产品中安全隐患的黑客。 热心的黑客们最后纷纷选择把公开。起源引擎中光RCE就有很多个,另一位黑客Bien Pham也趁此机会曝光的RCE,通过连接到恶意的私人服务器触。? 连接正常的服务器,但玩恶意的地图也有RCE。?除,Steam客户端也存在RCE。而且这个持续存在10年之久,直到18年4月才被修复。?

16520
  • 广告
    关闭

    云产品限时秒杀

    云服务器1核2G首年38元,还有多款热门云产品满足您的上云需求

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    梦幻成仙,诛灭外挂:《梦幻诛仙手》的阻击外挂之旅

    作者:sheldon,腾讯测试高级工程师随着智能手机的全面普及和市场泛娱乐化,移动行业展迅猛,无论是市场收入还是用户规模,手市场上已经占据半壁江山。 二、实方案测试目标根据手安全测试团队对腾讯多年的测试经验,手安全主要会出在客户端、逻辑和服务器三个层面,为整体全面的外挂情况,测试团队将手外挂的风险项细化情况如下:测试前分析前文提到不同手玩法都会使用不同的技术实 3、进行0、负值,数据溢出攻击,并挖掘方式。测试中问题根据测试前分析确定测试重点后,挖掘的工作其实就完成一大半,之后利用安全测试工具对风险进行逐一验证即可。 在以下几种类型的,均属于致命级:1、经济系统——致命级安全风险各个交易系统服务器都对协议中各个字段都有校验,道具购买数量做0,负值判断,并且服务器对购买个数有上限限制,不同物品限制个数不同 目前提供专家测试服务,希望通过提前版本的安全,预警风险,帮助提高腾讯的品牌和口碑。目前功能已正式对外开放!如需接入请联系企业QQ:800024531。

    46000

    梦幻成仙,诛灭外挂——《梦幻诛仙手》的阻击外挂之旅

    二实方案 测试目标根据手安全测试团队对腾讯多年的测试经验,手安全主要会出在客户端、逻辑和服务器三个层面,为整体全面的外挂情况,测试团队将手外挂的风险项细化情况如下:? 3、进行0、负值,数据溢出攻击,并挖掘方式。 测试中问题根据测试前分析确定测试重点后,挖掘的工作其实就完成一大半,之后利用安全测试工具对风险进行逐一验证即可。 在以下几种类型的,均属于致命级:1、经济系统——致命级安全风险各个交易系统服务器都对协议中各个字段都有校验,道具购买数量做0,负值判断,并且服务器对购买个数有上限限制,不同物品限制个数不同 团队通过使用与正式服同样的客户端和服务器,模拟外挂工作室制作外挂的过程,依靠自身的技术积累来提高专业程度,持续保持率。 目前提供专家测试服务,希望通过提前版本的安全,预警风险,帮助提高腾讯的品牌和口碑。

    29120

    六问 WeTest 手测试团队:如何助《梦幻诛仙手》诛灭外挂

    答:WeTest手安全测试团队基于对腾讯多年的测试经验,归纳出手安全主要出在客户端、逻辑和服务器三个层面,因此WeTest测试服务会从三个层面出,根据不同手玩法制定对应的策略以达到整体与侧重兼顾的检测效果 四问:测试团队最终《梦幻诛仙手》哪些严重BUG? 在根据测试前分析确定测试重点后,我们利用安全测试工具对《梦幻诛仙手》的风险项目进行逐一验证,两类致命级,而这两类均在测试阶段,并在版本布前已全部修复,在此仅作为案例分享。 降低其成长属性从而增强主要成长属性 物攻职业削减法术属性以增强其战斗属性致命安全风险二:宠物系统前期测试中,《梦幻诛仙手》的宠物系统也出与一同样的问题——对加点数值未做负值判断和溢出处理,导致修改次要属性为负值可以获取更多点数分配到主要属性 通过修改数值导致宠物战斗力异常增大五问:WeTest手安全测试如何处理这些?答:对于盗刷类,我们建议团队在研初期要规范通信协议定义,对协议结构中字段数和字段类型进行安全性检查。

    42330

    建一座安全的“天空城” ——揭秘腾讯WeTest如何与祖龙共同挖掘手安全

    保证的健康运转,祖龙娱乐对反外挂的工作非常重视。?《九州天空城3D》安全测试的开端安全问题相比的其问题,由于其测试的门槛较高,经常会被手者忽略。 【影响面】可用于刷评分,影响平衡安全视频问题三:对达到购买上限的道具,可修改购买方式无限购买【类型】:无限购买【问题描述】用其货币可以无限购买道具操作方法:1.录制交易系统—商铺购买协议“ 2、其协议大部分属于后台检验疏忽型,需针对性完善后台逻辑校验。 最终效果在项目测试阶段,手安全测试团队为《九州天空城3D》数个,并针对这些产生的原因和修正都提供专业意见,并很快顺利修正问题,与开商一起将隐患消除。 目前提供专家测试服务,希望通过提前版本的安全,预警风险,帮助提高腾讯的品牌和口碑✬如果你喜欢这篇文章,欢迎分享到朋友圈✬关于腾讯WeTest腾讯WeTest是腾讯官方推出的一站式测试平台

    25730

    《梦幻模拟战》挖掘全过程

    原文链接:https:wetest.qq.comlabview429.html WeTest 导读 和外挂一直是危害的罪魁祸首,在行业展的历程中,不乏一些经典热门的在安全事故中失去江湖地位 们在各种利益的诱导下,对进行技术破解、利用外挂获取收益,让遭遇公平性的丧失,玩家的乐趣遭受破坏,直接导致制作厂商的经济利益遭受损失。 量体裁衣——量身锻造的安全挖掘方案 - 深度分析 手的使用场景与传统APP有着巨大的差异,不同的玩法, 技术实都不一样,因此手安全测试团队需要对每一个,都从零开始研究内部实架构。 首先,WeTest手安全团队对的构成做分解,《梦幻模拟战》的开引擎为Unity3D,核心逻辑由 C#脚本实类型属于SRPG。 最终效果 手安全团队共3个致命,1个高危,4个中危,并准确定位这些产生的原因,同时提供修复的专业意见。开商也快速响应并及时修复问题,一起将隐患消除。

    41410

    《梦幻模拟战》挖掘全过程

    WeTest 导读 和外挂一直是危害的罪魁祸首,在行业展的历程中,不乏一些经典热门的在安全事故中失去江湖地位。 们在各种利益的诱导下,对进行技术破解、利用外挂获取收益,让遭遇公平性的丧失,玩家的乐趣遭受破坏,直接导致制作厂商的经济利益遭受损失。 量体裁衣——量身锻造的安全挖掘方案 - 深度分析 -         手的使用场景与传统APP有着巨大的差异,不同的玩法, 技术实都不一样,因此手安全测试团队需要对每一个,都从零开始研究内部实架构 首先,WeTest手安全团队对的构成做分解,《梦幻模拟战》的开引擎为Unity3D,核心逻辑由 C#脚本实类型属于SRPG。 最终效果 手安全团队共3个致命,1个高危,4个中危,并准确定位这些产生的原因,同时提供修复的专业意见。开商也快速响应并及时修复问题,一起将隐患消除。

    30130

    建一座安全的“天空城” :揭秘腾讯 WeTest 如何与祖龙共同挖掘手安全

    保证的健康运转,祖龙娱乐对反外挂的工作非常重视。《九州天空城3D》安全测试的开端安全问题相比的其问题,由于其测试的门槛较高,经常会被手者忽略。 腾讯WeTest手安全测试团队从2011年就开始对手安全领域进行探索和技术积累,旨在通过提前版本的安全,预警风险,帮助提高腾讯的品牌和口碑。 2、其协议大部分属于后台检验疏忽型,需针对性完善后台逻辑校验。 最终效果在项目测试阶段,手安全测试团队为《九州天空城3D》数个,并针对这些产生的原因和修正都提供专业意见,并很快顺利修正问题,与开商一起将隐患消除。 目前提供专家测试服务,希望通过提前版本的安全,预警风险,帮助提高腾讯的品牌和口碑。

    32700

    任天堂 Switch 遭 fail0verflow 黑客组织破解,已可运行 Linux 系统

    fail0verflow 黑客组织成员近日在赫赫有名的机 Nintendo Switch上一个们在推特上公开们的,并利用的结果——成功在 Switch 上安装并运行Debian 们目前,是在 Nividia Tegra X1 系统的boot ROM上。 在Switch设备启动的时候,利用程序能够触 ROM 中的,目前软件和固件更新并不能解决这个问题,因为只要用户开启电源就会加载这个 ROM 。 在Boot ROM上,而目前并没有合适的修复方案,可谓打开 Switch的新世界大门:可能会引目标的入侵?泄隐私数据? 或者在不远的将来,黑客可能可以寻找到安装 homebrew 应用的方法,安装盗版等等。?

    43370

    纯技术上来说,《看门狗》里的各种骇客技术有可能实吗?

    《爱在日落黄昏时》剧照然而令人意想不到的是,老牌大厂育碧和的《刺客信条:大革命》却上头条:育碧在这款里精确复刻巴黎圣母院。? 阿育牛逼!(破音)《刺客信条:大革命》在免费送! 这位天才黑客曾经过 胰岛素泵的安全 ,并演示如何在90米远的地方,把胰岛素推升到致命的水平。在研究之后便与美国食品药物管理局以及医疗设备制造商合作修复的安全。? 植入式心脏起搏器杰克当时声称,已经多家厂商生产的心脏起搏器的安全。 这使得可以远程重写心脏起搏器的运行软件,送高电压冲击,造成线圈短路。 说大概花六个月左右来做准备:“依靠逆向工程,设备的缺陷,然后开可以利用这些的软件。” 摄像头这类物联网设备与手机、电脑等不同的是,它们的存在感很低,往往是当设备出故障无法工作才会被。在17年我们的Seebug平台收录一篇基于GoAhead系列摄像头的多个

    37940

    索尼PS5曝两个内核,可用来窃取根密钥

    继Xbox主机曝出外挂后,索尼PS5也在同一日曝出两个内核,攻击者利用这两个窃取PS5的根密钥,这引大众对主机的新一轮担忧。 11月8日,攻击者在推特上公布PS5的两个内核,在此之前索尼公司并不知道该主机内核可以利用来安装盗版和运行模拟器,因此这类社区很受欢迎。 FailOverFlow黑客组织在推特上一条状态,晒出PS5固件的对称根密钥。之前该组织还在推特上公布几个主机的越狱方法。该组织声称已经从软件中获得所有PS5的根密钥,并强调是每台主机。 △ FailOverFlow黑客组织在推特上布的状态截图同一天,谷歌安全工程师Andy Nguyen(又名theflow0)在推特上宣布PS5的另一个。 Andy Nguyen表示,已使用该内核访问PS5的“调试设置”,但不打算公开披露该

    6620

    火绒安全周报:Valve生重大源码泄露事件 OpenSSL布高危

    01 Valve生重大源码泄露事件:《CS:GO》中枪 官方紧急回应Valve(Steam母公司)被曝生重大源码泄露事件,旗下热门《CS:GO》和《军团要塞2》源码被人泄露。 源码泄露后,相当于将的运行机制完全曝光在黑客面前,们可以轻易根据内的制作外挂,或者攻击玩家,对此,已经有一些程序员呼吁广大玩家在官方推出解决方案之前,尽量不要运行任何Source引擎的多人 对此,Valve官方也紧急联系媒体进行回应。“我们没有让玩家感到震惊或避免当前架构的任何原因。我们的建议一如既往,在官方服务器上进行以确保最大的安全性。” NS玩家账户异常登录LootPots创始人Pixelpar推表示自己的账号一夜之间被多次异地访问,Switch关联的任天堂账号疑似被黑,怀疑任天堂服务器可能出一些安全,并且也确定自己使用的密码强度够大 原出处:cnBeta原文链接:https:www.cnbeta.comarticlestech970503.htm05微软补丁,其中3个为0day在本月的补丁星期二中,微软Windows

    22120

    skr而止,周而复始 —— 合约全面汇总 | 分析连载之六

    安全,区块链领域举足轻重的话题,为什么一行代码能瞬间蒸几十亿市值?合约底层函数的使用不当会引起哪些合约中又存在哪些? 各方大都自食其力,独立开智能合约。比代币合约更加复杂的开过程使得安全隐患不可避免的出,这些一旦被攻击者或者项目方本身利用,受害的总会是玩家。可谓是,兴,百姓苦,亡,百姓苦。 溢出类型全面分析 | 分析连载第一期 —— 溢出下面我们来看合约案例:代表:狼人 平台:EOS从网站上,可以很明显的看到,该合约执行溢出,导致奖金池总额变为一个极大的负值 修复建议为避免此类,开者在开合约时需要足够谨慎,并进行详尽的测试。 对于上述问题合约,对照之前的分析不难,很多项目方依然在重蹈覆辙,对于异常明显的常规没有采取补救或者防护的措施,带给玩家巨大的经济损失,也给区块链的天空平添一抹阴霾。

    25730

    黑客找到Switch内核 但表示不会

    近日,在德国34C3黑客大会上,三位黑客Plutoo、Derrek和Naehrwert在场介绍们如何利用内核绕过任天堂Switch的底层保护机制,来获取主机的最高权限,破解过程包括跳过系统服务的初始化步骤 据其介绍们是通过“Nivdia Tegra X1”芯片的开文档中如何绕过底层保护的方法。 开文档中,并通过这个绕过SMMU(系统内存管理单元),最终通过合理的方法获得可以调试硬件的权限(们还特意感谢一下英伟达也是心大)。 但是这三名黑客表示自己不会布这个内核,也不会开自制系统,但们的演示等于给很多有技术的黑客提供思路。网友问黑客是否会将这一内核用于盗版? 即是说今后3.0.0 虽然可以破解运行NS,也不可能运行需要3.0.1版本以上的(例如《超级马力奥:奥德赛》《异度神剑2》等今年9月之后售的),也暂不支持联网(这样子的破解有什么意义)。

    40260

    阻击外挂——《龙之谷手》安全测试的那点事

    函数风险智能分析流程3实方案测试目标根据手安全测试团队对腾讯多年的测试经验,手安全主要会出在客户端、逻辑和服务器三个层面,为整体全面的外挂情况,测试团队将手外挂的风险项细化情况如下 ——拆分玩法中风险节点分析过程中,测试团队《龙之谷手》的 “战斗系统”和“交易系统”是手产生的高危模块,下文也将从这两块出,拆分其中的风险节点。 某版本测试后安全问题风险分析完成后,挖掘的工作其实就完成一大半,之后利用安全测试工具对风险进行逐一验证即可。 在以下几种类型的,均属于致命级:类型一:外挂类(1)   PVP模式加速移动(2)   PVE主线副本存在无敌秒杀、全屏攻击等大量安全点击边框调出视频工具条 “PVP天梯加速” 目前提供专家测试服务,希望通过提前版本的安全,预警风险,帮助提高腾讯的品牌和口碑。

    25230

    阻击外挂:《龙之谷手》安全测试的那点事

    作者:sheldon,腾讯测试高级工程师一、项目背景外挂的危害随着智能手机的全面普及和市场泛娱乐化,移动行业展迅猛,无论是市场收入还是用户规模,手市场上已经占据半壁江山。 图:函数风险智能分析流程三、实方案测试目标根据手安全测试团队对腾讯多年的测试经验,手安全主要会出在客户端、逻辑和服务器三个层面,为整体全面的外挂情况,测试团队将手外挂的风险项细化情况如下 ——拆分玩法中风险节点分析过程中,测试团队《龙之谷手》的 “战斗系统”和“交易系统”是手产生的高危模块,下文也将从这两块出,拆分其中的风险节点。 某版本测试后安全问题风险分析完成后,挖掘的工作其实就完成一大半,之后利用安全测试工具对风险进行逐一验证即可。 目前提供专家测试服务,希望通过提前版本的安全,预警风险,帮助提高腾讯的品牌和口碑。

    1.7K00

    如何摧毁黑客梦想, 提升EOS体验? 本营小仙女: 比们更努力!

    在 EOS 和 DApp 不断涌的今天,还没有出与传统单机结合的机制。倒是有很多竞猜类的大受欢迎,但是竞猜类以公平竞猜为理念,不能允许玩家以不断尝试的方式获取奖励。 如影随形RAM 消耗按照上面 B 账户里面的智能合约实业务逻辑,是没有什么问题的,但是如果按照如下合约实的话,问题就会出:? 这样,攻击者制造 action 执行失败后,就能将每次投注的 EOS 退回,从而无成本重新加入,直到获奖为止,模拟单机中“无限读档”,直到通关的方式。 修复 在实自动开奖奖的一系列动作中,不要惯性思维的使用 inline action,适时使用 deferred action 可以预防整个一套交易流程回滚到下注之前,规避攻击者零成本再次参与的风险 EOS 与以太坊相比,以其吞吐量大,处理速度快,以及交易成本低等优势占据 DApp 的有利地位,与初期的以太坊相比,低级错误导致得安全生率似乎有所降低,但是由于以及 DApp 的业务逻辑性比单纯的数字货币智能合约要复杂许多

    33910

    你的APK安全吗?来WeTest免费测!

    腾讯WeTest手安全解决方案——覆盖所有腾讯手的安全解决方案目前,在超过千亿元(人民币)的手市场中,80%的都存在高危,手行业每年因外挂、客户端&服务器、渠道推广作弊、不良内容传播等行为 根据用户不同的需求深度,WeTest提供限时免费的“SR手安全扫描”,也提供WeTest专家测试团队参与的“SR手安全测试”与“SR手宕机检测”。 检测代码文件、配置档文件、动态链接库文件、二进制打包文件等是否存在安全风险。SR手安全扫描对腾讯内部所有进行检测, 覆盖120+条安全检查项和信息安全测试项。? 其安全相关服务:安全测试服务描述SR手安全测试腾讯专家团队服务,全方面挖掘协议、内存、脚本等深度,远离各类外挂手段侵袭;MTP手加固杜绝“破解版”,避免代码反调试;腾讯专家团队服务 ,为手建立起代码So、Dll 加密保护、全面反调试、资源文件保护、防动态脱壳等全方位功能矩阵;MTP手防外挂腾讯专家团队服务,针对上线时间紧迫,无暇修复,或难以修复情况,提供手防外挂工具

    36830

    HackerOne优秀白帽黑客采访系列-Shubham Shah

    十岁左右,Shubham在为中打败哥哥,尝试进行破解,从此接触到黑客技术。之后,在朋友的介绍下,Shubham 开始入门众测。 在16岁的年纪,Shubham 就Google、Facebook、Yahoo和LinkedIn等多家知名网络公司的双因素(2FA)绕过。 Shubham目前以260量排名HackerOne 第36位,也曾是PayPal、Adobe、Google 、Uber和Microsoft等多家厂商致谢者,以及9个CVE者。 在众测领域,Shubham擅长做前期踩点侦查工作,总乐于自己编写测试工具来提高挖掘效率,这些工具如Commonspeak、Assetnote和Altdns都具备高效的前期踩点效率,非常值得白帽们入手使用 Shubham曾在博客表过《我的“一日一”高效挖掘之旅》,记录在120天内121个的心得。观看视频?

    29230

    相关产品

    • 手游安全测试

      手游安全测试

      安全测试为企业提供私密的安全测试服务,通过主动挖掘游戏业务安全漏洞,提前暴露应用,小程序潜在安全风险,提供解决方案及时修复,最大程度降低事后外挂危害与外挂打击成本……

    相关资讯

    热门标签

    扫码关注云+社区

    领取腾讯云代金券