展开

关键词

不修触犯刑法——一个int类型引发的

【背景介绍】 2015年6月,《全民主公》安全测试中发现,由于一个int类型使用错误,形成内“刷”武将等级的,危害程度爆表。若外挂团队或者是玩家利用此,可将武将直接刷到顶级。 ~ 【危害】 利用可直接把所有武将刷到满级,使商城中出售的高级突飞猛将令、以及中精心设定出掉落该物品的关卡、掠夺等内容变得没有意义。 若流出外网,由于利益关系,容易在玩家间形成病毒式传播,一方面影响商城营收,另一方面也会使很多玩法形同虚设,因为此时角色已经不需要更多经验值了。 同时,有关的效果截图或刷上排行榜截图容易被玩家在各大分发平台论坛传播,对口碑造成的影响也不容小觑。 ? 另外,《拳皇98OL》中也出现类似问题,由于服务器原因,测试环境受限,业务方测试人员后续将测试评估此影响面。《拳皇98OL》为此开启应急预案,也迅速的修复了该

39110

17岁网瘾少年竟是黑客 利用盗窃12余万

9月20日,化龙桥派出所接到辖区重庆某科技有限公司报警称,其公司IT人员于2018年9月20日12时30分许发现其公司系统有,并发现有“黑客”已经通过此从其公司账户上提现了123397.85元, 据了解,该公司为网上售卖装备的中间商,接到报案后,办案民警现场对该公司的服务器进行技术勘验,围绕该公司网络数据、公司账户等开展缜密侦查,并进行了详细的分析研判,初步确定了嫌疑人身份为身在西藏拉萨的杨某 经审讯,杨某,今年17岁,无业,喜欢打,跟随在重庆做生意的母亲生活,其对盗窃科技有限公司账户资金的违法行为供认不讳。 据杨某交代,2018年9月初,他在向该公司购买装备时,无意中发现了公司系统的,于是他利用这个,通过某种软件操作,改变公司交易系统的参数,让向公司“买”装备,变为向公司“卖”装备,从而让公司付账而获利

32440
  • 广告
    关闭

    腾讯云618采购季来袭!

    一键领取预热专享618元代金券,2核2G云服务器爆品秒杀低至18元!云产品首单低0.8折起,企业用户购买域名1元起…

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    skr而止,周而复始 —— 合约全面汇总 | 分析连载之六

    合约底层函数的使用不当会引起哪些合约中又存在哪些? 溢出类型全面分析 | 分析连载第一期 —— 溢出 下面我们来看合约案例: 代表:狼人 平台:EOS ? 修复建议 为了避免此类,开发者在开发合约时需要足够谨慎,并进行详尽的测试。 这个的机制几乎与之前提到的交易顺序依赖(TOD)异曲同工,竞态条件我们在第三期连载分析中也有描述,链接如下:弯道超车老司机耍智能合约 | 分析连载第三期 —— 竞态条件。 对于上述问题合约,对照之前的分析不难发现,很多项目方依然在重蹈覆辙,对于异常明显的常规没有采取补救或者防护的措施,带给玩家巨大的经济损失,也给区块链的天空平添一抹阴霾。

    29530

    Ubuntu系统中居然存在任天堂红白机的

    最近安全研究人员Evans在Ubuntu系统中发现了一个很有意思的,这个还跟任天堂当年的8位机(NES,或者叫FC)有关。 这样讲来也很容易理解,的影响并不算深远,研究人员也只是觉得很有趣才做了深入观察。 ? Evans表示:“该一定程度上依赖于默认安装过程。” 如果你对NSF文件感兴趣,可以点击阅读原文下载cv2.nsf(这是《恶魔城:暗影之王》的BGM)。这类文件都很小,要包含样本其实也有难度,但如果要搞点小动作还是可以的。 要利用该,可以采取以下方法: 1、给目标发电子邮件,邮件中带上可利用的附件。只要受害者下载文件,他们就会被攻击。 虽说这是个0day,但它造成的影响并不是很严重。 而且该只存在于Ubuntu 12.04.5系统版本中,这是一个比较老的版本了。

    44980

    【链安科技】Fomo 3D合约

    自7月8日,一款运行在以太坊上的带有明显博弈性质的区块链火了,这是继EOS-RAM之后,又一个用惊人收益刷新着我们认知的“新物种”,它就是Fomo 3D。 此前据CSDN报道,《2016年DDoS攻击报告》披露行业热、高利润、恶意竞争……多种因素使得行业成为DDoS攻击重灾区。 这不仅会影响用户体验,也会对公司造成重大经济损失,不排除是行业内恶性竞争的结果。 对于区块链也是一样。 实际上这已经是2018年近第23次针对区块链行业的DDoS攻击,目前区块链行业中加密数字货币和区块链产生的经济价值日益巨大,成为了一个黑客攻击的主要目标。 本文转载自《Fomo 3D合约》,版权属于原作者,已获得授权转载

    21340

    阻击外挂——《龙之谷手》安全测试的那点事

    安全测试团队一方面使用函数风险智能分析系统、盗刷扫描和拒绝服务攻击扫描对进行一轮自动化检测,另一方面根据各功能风险性和优先级对的战斗系统、交易所和战力成长系统进行深度分析和挖掘。 交易系统——道具流通的核心枢纽 允许玩家通过交易所进行物品交易流通,安全的影响面将会被交易系统进一步放大,也是需要优先进行外挂检测和挖掘的内容。 在中发现以下几种类型的,均属于致命级: 类型一:外挂类 (1)   PVP模式加速移动 (2)   PVE主线副本存在无敌秒杀、全屏攻击等大量安全 点击边框调出视频工具条 “PVP 4 最终效果 在项目测试阶段,手安全测试团队累积为《龙之谷手》挖掘出了7个致命级,8个高危级,5个中危级,将潜伏在中的龙币盗刷、PVP/PVE外挂、服务器宕机等各类致命级、高危级提前揭露出来 目前提供了专家测试服务,希望通过提前发现版本的安全,预警风险,帮助提高腾讯的品牌和口碑。

    28830

    阻击外挂:《龙之谷手》安全测试的那点事

    安全测试团队一方面使用函数风险智能分析系统、盗刷扫描和拒绝服务攻击扫描对进行一轮自动化检测,另一方面根据各功能风险性和优先级对的战斗系统、交易所和战力成长系统进行深度分析和挖掘。 交易系统——道具流通的核心枢纽 允许玩家通过交易所进行物品交易流通,安全的影响面将会被交易系统进一步放大,也是需要优先进行外挂检测和挖掘的内容。 在中发现以下几种类型的,均属于致命级: 类型一:外挂类 (1) PVP模式加速移动 (2) PVE主线副本存在无敌秒杀、全屏攻击等大量安全 “PVP天梯加速”视频:https:/ 四、最终效果 在项目测试阶段,手安全测试团队累积为《龙之谷手》挖掘出了7个致命级,8个高危级,5个中危级,将潜伏在中的龙币盗刷、PVP/PVE外挂、服务器宕机等各类致命级、高危级提前揭露出来 目前提供了专家测试服务,希望通过提前发现版本的安全,预警风险,帮助提高腾讯的品牌和口碑。

    1.8K00

    从《火影忍者OL》看腾讯手安全全周期解决方案

    这四个维度下的主要安全问题包括外挂,业务安全、服务器宕机、包体反编译、破解版,内的非法信息,打金工作室,非法操作等。 在诸多问题中,外挂对手的危害是最被开发商重视的。 以《火影忍者OL》手为例,在开发阶段,不删档测试前1-2个月,首先接入SR安全团队的手渗透测试和手宕机检测,使用腾讯独家研发的手安全挖掘技术,主动挖掘业务安全。 该服务为腾讯开放的独家手安全挖掘技术,杜绝外挂损失。 现服务已对外,外部厂商可获得与腾讯6星同等测试服务品质。 SR手宕机检测 拒绝服务一旦被黑,就一定是致命的。 在结合了安全测试经验之后,为定制模糊测试工具,执行自动化宕机检测。

    39930

    《梦幻模拟战》挖掘全过程

    WeTest 导读 和外挂一直是危害的罪魁祸首,在行业发展的历程中,不乏一些经典热门的在安全事故中失去江湖地位。 最终效果 手安全团队共发现了3个致命,1个高危,4个中危,并准确定位这些产生的原因,同时提供了修复的专业意见。开发商也快速响应并及时修复了问题,一起将隐患消除。 关于WeTest手渗透测试 手渗透测试(Security Radar)为企业提供私密安全测试服务,通过主动挖掘业务安全(诸如钻石盗刷、无敌秒杀等40多种),提前暴露潜在安全风险,提供解决方案及时修复 该服务为腾讯开放的独家手安全挖掘技术,杜绝外挂损失。 产品优势 1. 预知风险并修复,提前挖掘,并提供修复方案,让外挂无机可乘。 2. 方便安全,无需接入SDK,对本身无影响;保证产品高度私密性,不公开任何细节。

    33730

    《梦幻模拟战》挖掘全过程

    最终效果 手安全团队共发现了3个致命,1个高危,4个中危,并准确定位这些产生的原因,同时提供了修复的专业意见。开发商也快速响应并及时修复了问题,一起将隐患消除。 关于WeTest手渗透测试 手渗透测试(Security Radar)为企业提供私密安全测试服务,通过主动挖掘业务安全(诸如钻石盗刷、无敌秒杀等40多种),提前暴露潜在安全风险,提供解决方案及时修复 该服务为腾讯开放的独家手安全挖掘技术,杜绝外挂损失。 产品优势 预知风险并修复,提前挖掘,并提供修复方案,让外挂无机可乘。 专注,支持Unity3D、UE4、Cocos2D等主流引擎的,从通信协议、客户端函数安全、脚本逻辑、内存安全、静态资源安全等多个维度挖掘业务安全。 方便安全,无需接入SDK,对本身无影响;保证产品高度私密性,不公开任何细节。

    47110

    梦幻成仙,诛灭外挂:《梦幻诛仙手》的阻击外挂之旅

    作者:sheldon,腾讯测试高级工程师 随着智能手机的全面普及和市场泛娱乐化,移动行业发展迅猛,无论是市场收入还是用户规模,手市场上已经占据了半壁江山。 ,WeTest手安全团队针对核心玩法和中高价值产出点重点进行挖掘。 手安全测试团队一方面使用函数风险智能分析系统、盗刷扫描和拒绝服务攻击扫描对进行一轮自动化检测,另一方面根据各功能风险性和优先级对的战斗系统、交易所和战力成长系统进行深度分析和挖掘。 【示例】 描述:积分商城使用竞技场积分购买藏宝图,修改协议中字段数量为一个很大的值,导致服务器内存耗尽,无法登录内无法进行任何操作。 四、最终效果 在项目测试阶段,手安全测试团队累积为《梦幻诛仙手》挖掘出了20个致命级,19个高危级,28个中危级,将中潜在的盗号、物品盗刷、伪造身份、服务器宕机等各类致命级、高危级提前揭露出来

    52000

    梦幻成仙,诛灭外挂——《梦幻诛仙手》的阻击外挂之旅

    作者sheldon,腾讯测试高级工程师 商业转载请联系腾讯WeTest获得授权,非商业转载请注明出处。 ,WeTest手安全团队针对核心玩法和中高价值产出点重点进行挖掘。 手安全测试团队一方面使用函数风险智能分析系统、盗刷扫描和拒绝服务攻击扫描对进行一轮自动化检测,另一方面根据各功能风险性和优先级对的战斗系统、交易所和战力成长系统进行深度分析和挖掘。 四 最终效果 在项目测试阶段,手安全测试团队累积为《梦幻诛仙手》挖掘出了20个致命级,19个高危级,28个中危级,将中潜在的盗号、物品盗刷、伪造身份、服务器宕机等各类致命级、高危级提前揭露出来 目前提供了专家测试服务,希望通过提前发现版本的安全,预警风险,帮助提高腾讯的品牌和口碑。

    32320

    六问 WeTest 手测试团队:如何助《梦幻诛仙手》诛灭外挂

    其中,客户端层面的检查项主要有数据加密、协议保护、变速判定、敏感日志四类监测内容;逻辑安全层面的检查则包含了系统架构、盗刷和外挂三类直接关乎平衡和盈利根本的内容;服务器安全层面则对服务器宕机进行专项检测 答:对于盗刷类,我们建议开发团队在研发初期要规范通信协议定义,对协议结构中字段数和字段类型进行安全性检查。 答: 在《梦幻诛仙手》项目测试阶段,手安全测试团队累计挖掘出了20个致命级,19个高危级,28个中危级,将中潜在的盗号、物品盗刷、伪造身份、服务器宕机等各类致命级、高危级提前揭露出来 关于腾讯云手安全测试 腾讯云手安全测试(Security Radar),是由腾讯WeTest团队开放的独家手安全挖掘技术,能够有效杜绝外挂损失。 产品为企业提供私密安全测试服务,通过主动挖掘业务安全(诸如钻石盗刷、服务器宕机、无敌秒杀等40多种),提前暴露潜在安全风险,提供解决方案及时修复,最大程度降低事后外挂危害与外挂打击成本。

    45530

    腾讯手如何提早揭露外挂风险?

    提交,测试专家按照SR模板提交,依据《评级标准》进行定级和内容的审核 5. 安全报告,由安全专家根据发现的问题和整体对安全性进行评估并输出安全测试报告 6.  手安全分析 静态扫描 主要通过静态扫描的方式,对apk中配置档、资源文件、脚本文件、manifest.xml、so文件,通过自动扫描的方式来进行检查项的确认。 安全风险项 根据对类型的提炼,SR手安全测试团队总结了根据中的获利点而生成的风险点,然后在不同的中,结合具体玩法,又推导出相应的获益方式。 函数风险扫描技术原理图 对大量安全进行风险定义、特征定义与分类,引入模式识别技术,建立手安全风险分析模型,自动分析出高危风险函数,有效帮助测试人员省掉最为耗时的风险分析环节,实现单个手版本测试时长从 目前提供了专家测试和自动化测试,希望通过提前发现版本的安全,预警风险,帮助提高腾讯的品牌和口碑。

    33910

    腾讯手如何提早揭露外挂风险?

    ,主要进行函数修改、协议修改、内存修改、变速、脚本修改、静态扫描 提交,测试专家按照SR模板提交,依据《评级标准》进行定级和内容的审核 安全报告,由安全专家根据发现的问题和整体对安全性进行评估并输出安全测试报告 根据对类型的提炼,SR手安全测试团队总结了根据中的获利点而生成的风险点,然后在不同的中,结合具体玩法,又推导出相应的获益方式。 ,自动分析出高危风险函数,有效帮助测试人员省掉最为耗时的风险分析环节,实现单个手版本测试时长从3个工作日降低到1个工作日。 本文以白帽渗透测试的角度,介绍在版本发布前的测试阶段,通过“黑盒测试”的方式逐步分析业务逻辑中的风险点,主动挖掘潜在安全,最大程度避免最终发布版本中的外挂风险。 目前提供了专家测试和自动化测试,希望通过提前发现版本的安全,预警风险,帮助提高腾讯的品牌和口碑。 目前腾讯SR手安全测试限期开放免费专家预约!点击链接立即预约!

    1.3K00

    陌生人邀请我加入CS:GO,我一接受就被盗号了

    《反恐精英:全球行动》这款,被曝有远程代码执行(Remote Code Execute,以下简称RCE),让攻击者仅凭Steam邀请就能接管你的电脑。 ? 现在只能确定CS:GO里还有这个,军团要塞2已修复,其它使用起源引擎的情况不明。 ? 热心的黑客们最后纷纷选择把公开。 起源引擎中光RCE就有很多个,另一位黑客Bien Pham也趁此机会曝光了他发现的RCE,通过连接到恶意的私人服务器触发。 ? 连接正常的服务器,但玩了恶意的地图也有RCE。 ? 除了,Steam客户端也存在RCE。而且这个持续存在了10年之久,直到18年4月才被修复。 ? 这个可以获得任意Steam激活码的修复的倒是挺快。 ? 程序员在线崩溃 最后,再说一说带来这个bug的起源引擎本身。

    20320

    腾讯WeTest助力不再负重安全压力

    而在服务端安全上,WeTest将推出手宕机检测服务,采用行业标准,腾讯安全专家将介入验证。 ? SR手安全测试(手渗透测试):专家团队持续护航,开发源头扼制滋生 为了全量覆盖多品类功能,腾讯WeTest首先组成IEG手专家测试团队,超过700个产品版本的累积经验,实现了行业独创的渗透测试方案 针对Unity3D引擎开发,手宕机检测工具可基于产品缺陷注入自动软件测试技术,发现软件中不期望有的的行为,对协议接口进行fuzz覆盖,进行7x24小时的自动化扫描,在数据验证环节将有安全专家介入 服务器宕机检测样例报告 MTP手加固、防外挂工具:服务自动化,最小成本实现安全最大化 随着移动黑产的庞大,相关风险与猖獗滋生,外挂、逆向分析与破解、代币盗刷等等问题层出不穷、此生彼涨。 渠道营销反作弊报表样例 二、专注,沉淀十年,最专业的安全解决方案 专注,十年沉淀。一直以来,腾讯WeTest手安全测试团队旨在通过提前发现版本的安全、为开发者预警风险。

    26920

    建一座安全的“天空城” ——揭秘腾讯WeTest如何与祖龙共同挖掘手安全

    腾讯WeTest手安全测试团队从2011年就开始对手安全领域进行探索和技术积累,旨在通过提前发现版本的安全,预警风险,帮助提高腾讯的品牌和口碑。 (文中的均已修复,仅做学习交流参考) 技术难点 手的使用场景与传统APP有着巨大的差异,不同的玩法, 技术实现都不一样,因此手安全测试团队需要对《九州》所有模块进行比较全面的风险分析,针对核心玩法和中高价值产出点重点进行挖掘 WeTest手安全测试针对三方面进行检查: 1)客户端资源安全测试 2)逻辑安全测试 3)服务器稳定性 测试的实施 腾讯WeTest手安全测试团队将审核的内容分为静态安全和动态安全。 WeTest手安全测试团队为《九州》挖掘出的部分和修复方案。 客户端安全 1、逻辑 DLL未加密,可直接被反编译,降低了外网破解的难度,也存在被外挂利用的风险。 【影响面】 属于越权操作风险,利用可在中获益。

    27530

    建一座安全的“天空城” :揭秘腾讯 WeTest 如何与祖龙共同挖掘手安全

    (文中的均已修复,仅做学习交流参考) 技术难点 手的使用场景与传统APP有着巨大的差异,不同的玩法, 技术实现都不一样,因此手安全测试团队需要对《九州》所有模块进行比较全面的风险分析,针对核心玩法和中高价值产出点重点进行挖掘 WeTest手安全测试针对三方面进行检查: 1)客户端资源安全测试 2)逻辑安全测试 3)服务器稳定性 测试的实施 腾讯WeTest手安全测试团队将审核的内容分为静态安全和动态安全。 WeTest手安全测试团队为《九州》挖掘出的部分和修复方案 客户端安全 1、逻辑 DLL未加密,可直接被反编译,降低了外网破解的难度,也存在被外挂利用的风险。 】 属于越权操作风险,利用可在中获益。 目前提供了专家测试服务,希望通过提前发现版本的安全,预警风险,帮助提高腾讯的品牌和口碑。

    36100

    无题大鹅模拟(Untitled Goose Game)存在代码可执行

    Untitled Goose Game(无题大鹅模拟、捣蛋鹅)是一款画风简单的第三人称模拟类,通过模拟一只大鹅去完成一些捣乱任务,是House House制作的一款农场题材搞笑。 经作者发现,Untitled Goose Game由于在其存档加载器(Save Game Loader)中存在不安全的反序列化机制从而可导致代码执行,攻击者可以针对目标玩家的在启动存档加载器时实施恶意代码执行攻击 详情 Untitled Goose Game使用.NET的BinaryFormatter去读取和反序列化存档文件,由于其中未采用特定的SerializationBinder去控制反序列化过程,因此 ,控制了存档文件的攻击者可以利用其反序列化过程来执行任意代码。 上报处置进程 07/10/2019 - 向House House公司通报 09/10/2019 - House House确认 22/10/2019 - House House发布补丁 29/10

    32340

    扫码关注云+社区

    领取腾讯云代金券