随着硬件与开发技术的成熟相继发展成型,游戏行业安全问题也随之出现,外挂工具、系统功能漏洞、服务器宕机漏洞等问题频发,大幅影响游戏内平衡,使用户体验感下降。可以说,游戏发生安全问题就如同打开“潘多拉魔盒”,不但可能危害用户切身利益,也同样会造成企业的损失。与此同时还会发生企业信誉危机,品牌口碑大幅下滑等一系列问题。
游戏行业漏洞分类
目前游戏行业安全威胁主要包括账号类攻击、DDoS攻击、外挂和其他四大类。
账号类攻击
早期以打金工作室大量注册小号、木马盗号为主,近年来以撞库攻击和帐号扫描为主,攻击成功后进一步进行资产窃取。
DDoS攻击
游戏行业长期是 DDoS 的主要攻击对象,随着各种反射放大攻击模式的发明,受攻击流量也越来越大。
外挂
外挂是游戏黑客技术最有深度的领域,从逆向分析的难度到内核层各种对抗。外挂从受众主要分为玩家挂和工作室挂;从功能主要分为打金做任务类和竞技辅助类。
其他
除去私服类传统的问题,近年新出现了一些直接影响游戏公司收入的新问题。比如由于 iOS 平台的封闭性,游戏公司和 Apple 存在对账延迟,衍生出 iOS 充值退款/盗刷信用卡等黑产业务。传统针对游戏的破解业务依然持续存在,比如在试用版期间就出现了本地破解版。
什么是游戏漏洞?
我们将任何影响到游戏公平的非正常手段都可称之为游戏漏洞。
比如:通过漏洞获得游戏中的绝版的装备,可能漏洞并没有尝试服务器入侵提权,更改DB,也许只是简单的利用了一条协议的重发;通过漏洞控制敌对玩家,可能这个漏洞也没有涉及客户端入侵,也许只是在本地更改了一个玩家ID……
上述漏洞似乎都没有对攻击者进行破坏或者提权,也并没有改变游戏本身的执行流程,但它确确实实的是一个游戏漏洞。漏洞发生在游戏下,导致了漏洞的目的也随着改变,从以前的提权入侵,变成了影响游戏公平。
为什么会有游戏漏洞?
云师哥这里所说的分类方法主要是从技术角度来分析漏洞形成的原因,仅供大家参考。
01,外挂功能漏洞
外挂功能漏洞主要是指对游戏核心玩法的游戏平衡会带来影响的漏洞。
游戏开发初期由于选择的网络架构(网络同步方式)不合理,导致了部分关键逻辑被放在客户端处理,这种做法就会带来相应外挂风险。由于网络架构设计改动起来工作量大,一旦运营就很少在改动。所以外挂功能漏洞一般具有很难修复的特点,只能通过加强校验或者依赖游戏保护方案来进行运营对抗。
02,服务端校验疏忽漏洞
服务端校验疏忽漏洞主要是指服务端能够获取到足够多的信息、理论上可以校验,但由于程序员开发过程中一时疏忽而忘记校验的逻辑BUG。
这类漏洞一般对游戏产生较大影响、利用后能获取较多的虚拟财产收益。但修复也相对简单,开发商一旦发现理论上可以快速做出响应彻底修复漏洞。
03,兼容性漏洞
兼容性漏洞主要是指由于协议各字段边界值考虑不周全,程序在处理协议时导致崩溃的漏洞。
兼容性漏洞一般会导致服务端崩溃,从而实现炸房、炸频道、炸服等类型的服务端拒绝服务;或者导致周围玩家崩溃或者掉线。这类漏洞从利用者角度来讲并没有带来太多收益,但是对开放商来讲却是致命的漏洞。在程序开发过程中,很多时候都只考虑了正常情况而忽略了特殊边界值。所以兼容性漏洞也是几乎每个游戏都会曾在的漏洞,这类漏洞需要在上线前进行大量的测试排查。
04,性能漏洞
性能漏洞是指由于某些操作对性能消耗比较大时,被恶意玩家利用来达到破坏游戏的目的。常见的性能漏洞一般会利用服务端瓶颈或者客户端瓶颈来达到目的。
服务端瓶颈主要是指服务端某些操作比较消耗性能,客户端大量发起该操作导致服务端处理不过来从而产生拒绝服务的效果。比如查看拍卖行操作可能会导致游戏服务端查询数据库等行为,如果玩家短时间内通过发送刷新拍卖行的协议就会导致服务端处理不过来,其他玩家在刷新拍卖行就无法响应,导致拍卖行功能无法使用。
遇到游戏漏洞不必惊慌
青莲网络通过长期研究开发,对手游的核心代码进行安全编译、生成受保护的安全模块,从而避免因破解造成的安全风险。遇到游戏安全威胁不必惊慌,青莲十年的网络攻防技术沉淀和经验,为您的业务保驾护航。
上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理
