【外挂对抗总结】小游戏H5小程序网页游戏分析
生活随笔
收集整理的這篇文章主要介紹了
【外挂对抗总结】小游戏H5小程序网页游戏分析
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
目錄
前言
問題
源代碼未混淆,注釋、加密密鑰泄露
服務端未校驗,參數繞過,比如 跳關
服務端信息泄露,比如 直接返回關卡答案
重放攻擊,比如 獎勵重復領取
異地登錄,比如代打、盜號
弱算法,以下為某款脫機外掛:
方案
客戶端代碼混淆
客戶端關鍵字符串加密
服務端嚴格校驗
服務端加強校驗算法
延遲校驗
賬號凍結、黑名單
總結
前言
有些游戲剛上線一小時,外掛就滿天飛了,各種代打秒通關....
這些代打商家怎么做到的呢?
問題
玩過很多網頁小游戲了,以微信小程序小游戲為例,本質上還是web網頁,可以在PC端調試,或者下載源代碼審計,主要存在的安全問題:
-
源代碼未混淆,注釋、加密密鑰泄露
-
服務端未校驗,參數繞過,比如 跳關
-
服務端信息泄露,比如 直接返回關卡答案
-
重放攻擊,比如 獎勵重復領取
-
異地登錄,比如代打、盜號
-
弱算法,以下為某款脫機外掛:
方案
客戶端代碼混淆
現在很多游戲直接引用 cryto js 加密庫,根據該加密庫特征很容易找到請求算法關鍵點,應盡可能引入需要的函數,在混淆時一起混淆
客戶端關鍵字符串加密
域名url,AES key等關鍵字符串應在源代碼層面加密,使用時動態解密,防止直接通過抓包定位關鍵點
服務端嚴格校驗
- 服務端返回值盡可能返回少的信息,防范嚴重的信息泄露;
- 服務端、數據庫二次校驗,防范重復領取獎勵等漏洞;
服務端加強校驗算法
服務端應盡可能校驗客戶端參數以防范脫機外掛,比如校驗屏幕點擊位置、時間,而不只是校驗客戶端運行環境
延遲校驗
及時的反饋信息使黑產團隊輕易發現算法薄弱、校驗點,可以使用延遲校驗的方式提升黑產攻擊成本
賬號凍結、黑名單
代打、黑產一般會有大量賬號在同一地區、同一IP、甚至同一設備登錄的情況,采用異地、異設備登錄二次校驗的方式減少盜號風險;
賬號凍結、IP封禁、設備封禁、大數據分析等常用反黑灰產措施也不能少;
?
總結
攻防互相學習、升級,上線前嚴格的安全測試必不可少!
總結
以上是生活随笔為你收集整理的【外挂对抗总结】小游戏H5小程序网页游戏分析的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 身在国外,除了克服语言障碍,还得背好99
- 下一篇: java报错NoClassDefFoun