50

《梦幻模拟战》漏洞挖掘全过程-腾讯游戏学院

 5 years ago
source link: http://gad.qq.com/article/detail/288853
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

作者:WeTest小编
商业转载请联系腾讯WeTest获得授权,非商业转载请注明出处。
原文链接:https://wetest.qq.com/lab/view/429.html

WeTest 导读

漏洞和外挂一直是危害游戏的罪魁祸首,在游戏行业发展的历程中,不乏一些经典热门的游戏在安全事故中失去江湖地位。不重视游戏安全的结果,不仅让制作人员的心血毁于一旦,更痛失万千玩家的热爱。在如今手游盛行的时代,如何正视手游安全,最大化的减少安全事故的发生概率,请跟随本文一起探索。

梦幻之源—《梦幻模拟战》手游的前世今生

《梦幻模拟战》系列作为经典的日式战棋游戏,自1991年初代作品发布至今在老一辈中国玩家心中有着极高的地位。2018年初紫龙游戏正式推出日式王道幻想大作《梦幻模拟战》的手游版本,延续原作经典的SRPG玩法,开创战棋游戏实时玩家对抗。
5c150a68ad0e7.jpg

自2018年8月上线appstore至今,《梦幻模拟战》手游始终保持在游戏畅销榜前Top20的位置。畅销榜上有很多手游都有潜在的安全问题,排名越是靠前,热度越高,越是会让外挂工作室和黑客趋之若鹜。他们在各种利益的诱导下,对游戏进行技术破解、利用外挂获取收益,让游戏遭遇公平性的丧失,玩家的游戏乐趣遭受破坏,直接导致制作厂商的经济利益遭受损失。

《梦幻模拟战》的发行方紫龙游戏,对此类风险有着非常超前的认知,在产品正式上线前,就与WeTest的手游安全团队进行对接。通过WeTest提供的手游安全测试,主动挖掘游戏业务安全漏洞,用来提前暴露游戏潜在的安全风险,这样不仅能最大程度降低事后外挂的危害,更有效降低外挂的打击成本。

量体裁衣——量身锻造的安全漏洞挖掘方案

- 深度分析

手游的使用场景与传统APP有着巨大的差异,不同的游戏玩法, 技术实现都不一样,因此手游安全测试团队需要对每一个游戏,都从零开始研究游戏内部实现架构。

    首先,WeTest手游安全团队对游戏的构成做了分解,《梦幻模拟战》的开发游戏引擎为Unity3D,游戏核心逻辑由 C#脚本实现,游戏类型属于SRPG。其中,游戏的核心玩法包括 PVP 和 PVE 战斗、经济系统、英雄系统等。


    其次,经过对战斗过程中服务器与客户端间通信协议的分析,安全团队了解到该款游戏的战斗实时性要求非常高,所有的操作都有协议上报。PVE战斗采用的是客户端结算上报,服务器校验的形式。

- 实现方案

    结合以上特性分析,安全团队最终确定,本次手游安全测试主要采用协议进行漏洞挖掘,使用函数和内存渗透测试的方法进行辅助。针对游戏的当前运营状态,精准的制定了本次安全测试项目目标:对《梦幻模拟战》的经济系统、战斗系统、装备系统、英雄系统、活动任务、社交系统,针对性地挖掘影响面比较大的漏洞,暴露游戏中潜在的安全风险,最大程度降低游戏运营中的外挂影响和打击成本。

最终效果

手游安全团队共发现了3个致命漏洞,1个高危漏洞,4个中危漏洞,并准确定位这些漏洞产生的原因,同时提供了修复漏洞的专业意见。开发商也快速响应并及时修复了问题,一起将隐患消除。《梦幻模拟战》的技术负责人表示:“外挂问题一直是紫龙在做游戏过程中要跨越的雷区,SRPG的游戏玩法和游戏内容都非常多,非常需要专业的安全团队来对游戏进行一个全方位的检测,WeTest手游安全测试为《梦幻模拟战》正式开启不删档,创造安全、公平、健康的游戏环境提供了坚实支撑和保障。”

关于WeTest手游渗透测试

手游渗透测试(Security Radar)为企业提供私密安全测试服务,通过主动挖掘游戏业务安全漏洞(诸如钻石盗刷、无敌秒杀等40多种漏洞),提前暴露游戏潜在安全风险,提供解决方案及时修复,最大程度降低事后外挂危害与外挂打击成本。该服务为腾讯游戏开放的独家手游安全漏洞挖掘技术,杜绝游戏外挂损失。

产品优势

  1. 预知风险并修复,提前挖掘漏洞,并提供修复方案,让外挂无机可乘。

  2. 专注游戏,支持Unity3D、UE4、Cocos2D等主流引擎的游戏,从游戏通信协议、客户端函数安全、脚本逻辑、内存安全、静态资源安全等多个维度挖掘业务安全漏洞。

3.专家团队,工程师来自腾讯IEG手游漏洞测试团队(SR安全雷达团队),具有极为丰富的实战经验,曾服务过腾讯自研、累积服务产品版本700+,使用行业独创渗透测试方案提供专业级服务。

  1. 星级标准,腾讯游戏6星级质量标准,获得与《王者荣耀》、《穿越火线-枪战王者》、《龙之谷》等腾讯顶级手游同等测试服务品质。

  2. 方便安全,无需接入SDK,对游戏本身无影响;保证产品高度私密性,不公开任何漏洞细节。

除外,WeTest平台于近期升级了手游安全的解决方案,推出了包括服务器宕机检测、手游加固、反外挂及手游安全扫描等服务。

点击:https://wetest.qq.com/solution/shouyou_protection 即可体验。
如果使用当中有任何疑问,欢迎联系腾讯WeTest企业QQ:2852350015


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK