这两天的安全领域被一个词刷屏了,XcodeGhost,这种病毒不仅会在应用运行时窃取用户信息,甚至还会模拟收费或帐号弹窗来窃取你的iCloud及iTunes密码。受影响应用数超过76款,涉及用户多达1个亿。 那么XcodeGhost究竟是什么? 简单的说,就是在iOS开发工具中加入一段恶意代码,导致凡是使用这个工具开发的APP都会被感染,而安装被感染APP的 手机则会沦为黑客的"玩具"。 在用户心目中"坚不可摧"的 苹果生态系统这一次遭遇了"信任危机",人们开始发现苹果的安全防御机制比想象的更加脆弱。 "信任危机"是企业危机中最严重的之一。"信任危机"让企业无论做什么都会让用户产生怀疑,让企业的一切举措都将事倍功半。 从XcodeGhost漏洞事件来看手游领域,手游的安全问题是引发"信任危机"的重要导火索,作为安全领域的老鸟,在手游一片红海的当下,想谈谈手游安全的重要性,同时想给大家分享一些实用的手游 安全测试方法。 一、为什么安全测试这么重要? 来看看几种常见的安全问题: 1、游戏盗号,利用安全漏洞对游戏内账号做批量盗取,对玩家的直接损伤不用提,盗号的资金流入市场影响的是整个游戏市场平衡。 2、外挂,从端游到页游,太多游戏是因为外挂问题被玩家抛弃,直接影响着玩家体验。 3、客户端二次打包,这个带来的风险比前几个都大,而且后患无穷。可能是直接被安装了购买插件,开发者的利润流向了黑客的口袋,更恐怖的是向玩家投放钓鱼病毒,直接获取玩家的银行账号等个人资产信息。 除了这些问题外,还有非常多的安全问题。这些问题都将直接、间接影响游戏游戏的收入、留存,给开发者造成重大损失。所以,如何预防安全问题迫在眉睫,安全测试应运而生。简单概括安全测试是泛指能够影响游戏平衡性,并且对游戏有破坏性和恶意影响的问题。包括几大安全领域: · 包括网络帐号、网络充值的问题涉及到了网络安全的领域; · 客户端的安全,反破解、反调试等属于软件安全的领域; · 游戏外挂的检测与防御,就比较类似于杀毒软件的检测做法; · 游戏内逻辑漏洞的检测,又更倾向于 软件测试领域的内容; · 还有游戏内的欺骗、钓鱼等方面。 二、该如何做安全测试? 其实游戏的本质,是客户端与服务器端的数据通信。安全测试的过程也主要是围绕数据来进行。手游安全测试,其实也是手游安全攻击的过程。在攻击的过程中,让其存在的安全问题自动显现出来。通过对数据的修改,让服务器端承认修改后的异常数据,就是安全测试所需要发现的问题。首先,开始手游安全测试前,需要对游戏的分类有大概了解。 (一)游戏的分类 在PC端游盛行的时代,网络游戏根据交互实现的不同就已经分为了两种类型。封包逻辑强校验的游戏,例如MMORPG等类型游戏,这类是主流。还有一类游戏,由于需要考虑到游戏的实时操作体验,使用的是UDP协议交互。这类游戏使用了弱校验的封包逻辑。 而到了手游时代,除了上述两个原因,还需要考虑手机不同于PC端的独特情况。因此,弱校验类型的游戏也变得更多。 针对强校验类型的游戏,一般情况只需要测试器游戏协议封包逻辑。因为,这种类型的游戏,在本地的所有关键数据都不参与运算,均是在服务器端进行的运算。 (二)常用手游安全测试方法 了解了游戏分类,下面从游戏逻辑内容的角度,说明常规的一些测试方法。 1、协议测试 例如天天富翁和全民小镇等手机游戏,就是属于强校验的手游。玩家在天天富翁游戏内的每个基本操作,都有与服务器端通信处理。例如投掷骰子。 针对这些类型的游戏,并没有太多可以本地修改的内容。因为本地修改的内容,都会通过每个封包去与服务器端交互。 因此,只需要对游戏内的每个封包进行安全测试,那么这个游戏的安全问题,就比较有保证。封包测试时,可以从两个角度进行测试。 A、针对每个封包的字段内容,进行边界测试; B、每个封包也可以在不同的场景下,尝试进行状态测试。 可以根据游戏的内容,对测试内容交互封包进行罗列,循序渐进,完成测试。 天天富翁的强制拍卖问题 (在天天富翁的前期版本,可以通过修改发送封包实现强制拍卖对方地标建筑的问题。该BUG为通过修改封包实现。) 2、内存数据修改 而针对弱校验类型的游戏,其在本地有部分的计算替代了服务器端的计算逻辑。目前,更多的做法是在游戏结束时,将计算操作的数据保留发送向服务器端。由服务器端确认计算逻辑的有效性。 例如天天酷跑内角色在游戏内的跳跃等动作。 这种类型的游戏,测试重点则放在了内存数据修改和代码修改上。因为计算的数据存放在本地,虽然服务器端最终有校验处理,但不能够完全的保证校验处理的全面性。 常用的安卓内存修改器 对于手游来说,内存数据修改测试也是目前门槛最低的测试方法。但是测试的覆盖度,相对协议测试来说,没法准备的保证。但是可以根据单局游戏结束时,客户端向服务器端发送的封包、以及游戏界面上的显示数据等来确认可能可以修改的数据内容。 版权声明:本文出自《测试专刊-腾讯WeTest教你玩转手游测试》。51Testing软件测试网及相关内容提供者拥有51testing.com内容的全部版权,未经明确的书面许可,任何人或单位不得对本网站内容复制、转载或进行镜像,否则将追究法律责任。
|