学习
实践
活动
专区
工具
TVP
写文章

游戏skr而止,漏洞周而复始 —— 游戏合约漏洞全面汇总 | 漏洞分析连载之六

合约底层函数的使用不当会引起哪些漏洞游戏合约中又存在哪些漏洞? 溢出漏洞类型全面分析 | 漏洞分析连载第一期 —— 溢出漏洞 下面我们来看游戏合约案例: 代表游戏:狼人游戏 平台:EOS ? ,根据后面的代码逻辑,可以收取原本应该打入合约部署者的ETH[2]。 这个游戏的机制漏洞几乎与之前提到的交易顺序依赖(TOD)异曲同工,竞态条件我们在第三期连载分析中也有描述,链接如下:弯道超车老司机戏耍智能合约 | 漏洞分析连载第三期 —— 竞态条件漏洞。 对于上述问题游戏合约,对照之前的漏洞分析不难发现,很多项目方依然在重蹈覆辙,对于异常明显的常规漏洞没有采取补救或者防护的措施,带给玩家巨大的经济损失,也给区块链游戏的天空平添一抹阴霾。

37230
  • 广告
    关闭

    游戏加速分发场景解决方案

    帮助解决游戏内的卡顿和高延时现象,为玩家提供更好的游戏体验

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    游戏开发者,也是“偶像制作人”

    微信在观察小游戏开发团队时发现,很多小游戏团队其实并没有传统游戏行业的研发经验,甚至很多开发者都不是游戏行业从业者。 这表明越来越多的非游戏开发者正在加入小游戏生态,正在用自己的创意为小游戏带来更多的可能性。 针对这一现象小N采访了有6年技术开发经验、参与过QQ游戏平台《夏日运动》、《驯龙高手》等小游戏研发的冯老师。 也许是玩游戏玩的多了,比较挑剔,虽然每一款游戏都有我要的东西,但总觉得如果能这样改一下或者那样改一下会更好。从那时候开始,我其实就已经在不自觉地策划自己理想中的游戏了。 但游戏这方面的东西并没有放下,后来有个技术大牛的朋友让我在他的公司里兼职。为了实现“想给中国游戏界做些事情”的理想,我脑子一热,就开始了职业做“游戏课程”的生涯,一直到现在。 小N: 老师的“游戏课程”有入门门槛么? 冯老师:只要对游戏有热情感兴趣,会基本的电脑操作、简单的英文读写就可以学习。

    30220

    看我如何研究并发现了洛比机器人的漏洞

    上个月末,我们的实验室迎来了一个非常重要的“人”:Robi机器人(有一个摄像头和一个扬声器!)。我们有幸组装了它,然后让它跳起了舞。 研究过程中已经确认的漏洞列表: 1.Web管理界面的XSS持久性漏洞 2.无需身份验证访问CLI(或通过控制台移动机器人) 3.功能性逻辑绕过 4.反射型XSS(在IE兼容模式下有用) 5.开放重定向 在我看来,这个特殊漏洞会威胁到用户/所有者的安全,因为它给予了攻击者机会来挂载钓鱼网络,以实施钓鱼攻击。 现在问题是用户不能连回机器人来修正错误,因为: 用户连接到机器人开放的WiFi,所以可以访问机器人的Web应用来设置网络登录信息。 这个缺陷也可以被具有网络访问机器人的攻击者所滥用,可以利用跨站请求伪造攻击,以破坏机器人的可用性,导致拒绝服务状况。

    442100

    VSCode 里面竟然隐藏这小霸王游戏机,你发现了没?

    添加完毕后,会在local列表显示,点击即可开始游戏。 本地仓库列表还支持 右键菜单 改名,删除功能 2.远程仓库 选择想要玩的游戏,右键菜单下载。下载完成后,会加载到local菜单。点击即可完。 远程仓库通过github维护,会不定时的更新一些新的游戏。可以通过remote上的refresh刷新按钮同步。 远程rom仓库配置地址 https://github.com/gamedilong/anes-repository Issues 这个插件是一个很初始版如果发现了任何的bug或者有任何建议, 请提交 issues 2:安装完成后,再 vsocde 左侧左侧面板会有插件入口,点击即可进入游戏列表界面 ? 3: 这里又很多童年经常玩的游戏哦,趁着老板不注意,我就可以愉快的玩耍了~ ?

    39930

    VSCode 里面竟然隐藏这小霸王游戏机,你发现了没?

    添加完毕后,会在local列表显示,点击即可开始游戏。 本地仓库列表还支持 右键菜单 改名,删除功能 2.远程仓库 选择想要玩的游戏,右键菜单下载。下载完成后,会加载到local菜单。点击即可完。 远程仓库通过github维护,会不定时的更新一些新的游戏。可以通过remote上的refresh刷新按钮同步。 远程rom仓库配置地址 https://github.com/gamedilong/anes-repository Issues 这个插件是一个很初始版如果发现了任何的bug或者有任何建议, 请提交 issues 2:安装完成后,再 vsocde 左侧左侧面板会有插件入口,点击即可进入游戏列表界面 3: 这里又很多童年经常玩的游戏哦,趁着老板不注意,我就可以愉快的玩耍了~

    67850

    不修漏洞触犯刑法——一个int类型引发的游戏漏洞

    【背景介绍】 2015年6月,《全民主公》安全测试中发现,由于一个int类型使用错误,形成游戏内“刷”武将等级的漏洞,危害程度爆表。若外挂团队或者是玩家利用此漏洞,可将武将直接刷到顶级。 ~ 【漏洞危害】 利用漏洞可直接把所有武将刷到满级,使商城中出售的高级突飞猛将令、以及游戏中精心设定出掉落该物品的关卡、掠夺等内容变得没有意义。 漏洞若流出外网,由于利益关系,容易在玩家间形成病毒式传播,一方面影响游戏商城营收,另一方面也会使游戏很多玩法形同虚设,因为此时角色已经不需要更多经验值了。 同时,有关漏洞的效果截图或刷上游戏排行榜截图容易被玩家在各大游戏分发平台论坛传播,对游戏口碑造成的影响也不容小觑。 ? 另外,《拳皇98OL》游戏中也出现类似问题,由于游戏服务器原因,测试环境受限,业务方测试人员后续将测试评估此漏洞影响面。《拳皇98OL》为此开启应急预案,也迅速的修复了该漏洞

    51810

    国庆连夜测试羊了个羊,发现了一些游戏Bug

    最近都被羊了个游戏给洗脑了,一经上手,国庆放假都根本停不下来!要说啊,主要还是激起了我那该死的胜负欲! 微博霸榜、知乎热榜,各大社区无不在讨论个小游戏,甚至就连羊了个羊的官方服务器都崩溃了几次。 但羊了个羊这个游戏明显偷懒了,完全靠随机,你只能拼那微乎其微的过关几率,官方给出的过关几率是“不到0.1%”,但实际上有多少呢? 同时发现了这款游戏的一些Bug~ 1 功能性Bug (1) 看完广告之后,点击使用道具没有反应 顶着黑眼圈把广告看完,以外使用完最后一个道具就可以通过了,却点击之后没有反应,我整个蚌埠住了。 (2) 玩游戏过程中,音效时有时无 默认是开启音效,正在投入玩游戏的过程中,音效突然停止,我以为游戏又要玩不了。正在静默玩游戏时,突然有声音传出来,吓得手机差点砸脸上。 (3) 通关过程中,偶而闪退,关卡无法保留 正在沉浸玩游戏时,小程序有时会突然闪退,闪退之后,又要从头来过。

    9920

    HackerOne优秀白帽黑客采访系列-Shubham Shah

    十岁左右,Shubham在为了在游戏中打败哥哥,尝试进行游戏破解,从此接触到了黑客技术。之后,在朋友的介绍下,Shubham 开始入门漏洞众测。 在16岁的年纪,Shubham 就发现了Google、Facebook、Yahoo和LinkedIn等多家知名网络公司的双因素(2FA)绕过漏洞。 Shubham目前以260漏洞发现量排名HackerOne 第36位,也曾是PayPal、Adobe、Google 、Uber和Microsoft等多家厂商漏洞致谢者,以及9个CVE漏洞发现者。 在众测领域,Shubham擅长做前期踩点侦查工作,总乐于自己编写测试工具来提高漏洞挖掘效率,这些工具如Commonspeak、Assetnote和Altdns都具备高效的前期踩点效率,非常值得白帽们入手使用 Shubham曾在博客发表过《我的“一日一洞”高效漏洞挖掘之旅》,记录了在120天内发现121个漏洞的心得。 观看视频 ?

    35430

    谷歌发现了漏洞,部分G Suite用户的密码被以明文方式存储

    目前该漏洞已经被修复 。 策划&撰写:温暖 5月22日上午,据美国一家科技媒体的报道称,谷歌在博客文章中公布公司最近发现了一个漏洞,而该漏洞导致部分G Suite用户的密码被以明文的方式存储。 目前该漏洞已经被修复,谷歌也在博文中表达了歉意。 据悉G Suite是Gmail和谷歌其他应用的企业版本,而G Suite中的这个漏洞也是源自于专门为企业提供的服务。 谷歌在文章中表示,该漏洞在2005年以来就存在,但其一直未能够找到任何证据证明有人的密码被非法访问过,其公司目前正在重置这些可能受到影响的密码,并且已经告知了G Suite管理员。 与此同时,谷歌也在文章中详细的介绍了加密哈希的工作原理,并且解释了这一原理与漏洞的区别,其提到虽然密码是以明文方式存储,但是存储在谷歌的服务器上,因此会比存储在开放互联网上安全一些,这些明文密码还是较难访问的 当前,谷歌并未对这一漏洞涉及的具体用户数量进行说明,只是表示漏洞影响的是部分企业G Suite用户。 ? ? 任正非最“硬”回应:不要煽动民族情绪,美国没有力量让所有国家排斥华为 ?

    26520

    索尼PS5曝两个内核漏洞,可用来窃取根密钥

    继Xbox主机曝出外挂后,索尼PS5也在同一日曝出两个内核漏洞,攻击者利用这两个漏洞窃取了PS5的根密钥,这引发了大众对游戏主机的新一轮担忧。 11月8日,攻击者在推特上公布了PS5的两个内核漏洞,在此之前索尼公司并不知道该漏洞游戏主机内核漏洞可以利用来安装盗版游戏和运行模拟器,因此这类漏洞游戏社区很受欢迎。 △ FailOverFlow黑客组织在推特上发布的状态截图 同一天,谷歌安全工程师Andy Nguyen(又名theflow0)在推特上宣布发现了PS5的另一个漏洞。 Andy Nguyen表示,已使用该内核漏洞访问了PS5的“调试设置”,但他不打算公开披露该漏洞。 这张图片在推特上引起了强烈反响,它意味着该漏洞确实存在PS5最新的固件上。 据了解,截图中的“调试菜单”仅在测试套件的PS设备上可用,并且可以通过在固件的特定地址上打补丁来启动主机。

    23620

    【链安科技】游戏Fomo 3D合约漏洞

    自7月8日,一款运行在以太坊上的带有明显博弈性质的区块链游戏火了,这是继EOS-RAM之后,又一个用惊人收益刷新着我们认知的“新物种”,它就是Fomo 3D。 此前据CSDN报道,《2016年DDoS攻击报告》披露行业热、高利润、恶意竞争……多种因素使得游戏行业成为DDoS攻击重灾区。 这不仅会影响用户游戏体验,也会对游戏公司造成重大经济损失,不排除是行业内恶性竞争的结果。 对于区块链游戏也是一样。 实际上这已经是2018年近第23次针对区块链行业的DDoS攻击,目前区块链行业中加密数字货币和区块链游戏产生的经济价值日益巨大,成为了一个黑客攻击的主要目标。 本文转载自《游戏Fomo 3D合约漏洞》,版权属于原作者,已获得授权转载

    25140

    一个和任天堂游戏机有关的0-day漏洞,可能对大多Linux系统造成影响

    上个月Chris Evans陆续针对Linux系统中的GStreamer框架进行了安全分析,发现了针对Linux桌面系统的0-day漏洞。 ,它们都能用于模拟游戏机超级任天堂(SNES)音乐。 Linux的多媒体播放框架GStreamer,支持由超级任天堂CPU和音频处理器模拟的SNES游戏音乐文件( Game Music Emu)。 漏洞测试和影响 Evans综合利用了这两个运行错误发现了漏洞,在其展示的攻击视频中显示,只要受害者访问了包含有.flac或.mp3格式的恶意SPC音频文件网页后,其系统就会被攻击者入侵。 Evans在博客中给出了详细的漏洞分析细节,另外,还指出由于沙箱机制的普通缺乏将会导致漏洞严重性增加。

    40850

    「程序猿」和女神玩游戏,为什么只有成功吃到了鸡

    发现了史上最不可思议脱单方式的知晓君,迫不及待地想把这分享给你。 你看上去就很靠谱 朋友和女朋友的相识是在一个嘈杂的桌游局上,妹子的手机到一半就没电了,于是她全场求借充电宝。 那天就习惯性地带了个充电宝,谁知道就发挥了如此重要的作用。 朋友直接把充电宝送给了妹子,表示自己换了新手机,已经完全不需要充电宝了。 ? 只能期望这手机在充电过程中「冷静」一点,别把妹子的手烫伤了,也别把自己的约会给毁了。 ? 结果手机真的十分「冷静」,而且充电速度巨快,一个小时竟然充了90%的电。 即使妹子为了游戏效果把游戏的帧率调到了 60 帧,手机还是那么稳。朋友默默在心里为自己的一加 6 记了一功。 游戏结束的时候,他们吃鸡了。妹子说:「用你的手机打游戏游戏成功率好像更高呢。」 事实上,对一加 6 满意的可不止一个。 ?

    25630

    17岁网瘾少年竟是黑客 利用游戏漏洞盗窃12余万

    重庆网络广播电视台记者 陈沾弟 记者从渝中警方获悉,一17岁网瘾少年当黑客,盗取了一互联网民营企业账户,让原本向公司“买”装备的,变为向公司“卖”装备,短短几天时间,便从网络上盗走了该公司的12余万元 9月20日,化龙桥派出所接到辖区重庆某科技有限公司报警称,其公司IT人员于2018年9月20日12时30分许发现其公司系统有漏洞,并发现有“黑客”已经通过此漏洞从其公司账户上提现了123397.85元, 据了解,该公司为网上售卖游戏装备的中间商,接到报案后,办案民警现场对该公司的服务器进行技术勘验,围绕该公司网络数据、公司账户等开展缜密侦查,并进行了详细的分析研判,初步确定了嫌疑人身份为身在西藏拉萨的杨某 经审讯,杨某,今年17岁,无业,喜欢打游戏,跟随在重庆做生意的母亲生活,其对盗窃科技有限公司账户资金的违法行为供认不讳。 据杨某交代,2018年9月初,在向该公司购买游戏装备时,无意中发现了公司系统的漏洞,于是利用这个漏洞,通过某种软件操作,改变公司交易系统的参数,让向公司“买”装备,变为向公司“卖”装备,从而让公司付账而获利

    42440

    HackerOne优秀白帽黑客采访系列-André Baptista

    也就在最近,André和他的团队,发现了Steam游戏客户端的一个远程代码执行(RCE)漏洞,以此得到了$18,000的奖励。 就拿自己来说,由于此前一直参与的是CTF比赛,在2018年才真正接触到漏洞众测,所以还需要继续加强学习。 但之后我又再次获得2018年度,在华盛顿举办的参赛资格,赛前我进行了很多有针对性的训练,期间还发现了我的第一个众测漏洞。 因为我一直在测试Shopify上面的相关漏洞,所以,到了华盛顿之后,我又接着针对其功能特性和日常业务做了大量的分析测试,接着就发现了一个很不错的漏洞,它是一个影响系统的严重漏洞,极具隐患。 有好多选手都发现了一些不错的漏洞,所以当我获得了MVH奖励时,我还有一些惊讶,因为我觉得其他人也可获此殊荣。

    52630

    关注

    腾讯云开发者公众号
    10元无门槛代金券
    洞察腾讯核心技术
    剖析业界实践案例
    腾讯云开发者公众号二维码

    相关产品

    • 手游安全测试

      手游安全测试

      安全测试为企业提供私密的安全测试服务,通过主动挖掘游戏业务安全漏洞,提前暴露应用,小程序潜在安全风险,提供解决方案及时修复,最大程度降低事后外挂危害与外挂打击成本……

    相关资讯

    热门标签

    活动推荐

    扫码关注腾讯云开发者

    领取腾讯云代金券