1. 聚能聊>
  2. 话题详情

你知道网络游戏那些不为人知的安全隐患吗?

互联网界有一句很流行的话,“没有什么应用是没有遭受过攻击的,只是因为你不知道”;作为互联网行业中吸金度最高的游戏行业,遭受攻击的强度、复杂度也是最高的。在多年服务游戏行业用户的过程中,曾看到过多次、一个个充满激情的创业团队、一个个玩法很有特色的产品,被这种互联网攻击问题扼杀在摇篮里;也看到过一个运营很好的产品,因为一个很低级的系统漏洞、造成用户数据泄露和篡改,形成对产品声誉无法挽回的损失。阿里云云盾团队,对游戏行业的安全问题做了一些梳理,大致如下:

DDoS攻击

还是网络游戏行业的头号重灾区,2016年全球有记录的DDoS峰值已经近600G,而且300G+的DDoS攻击在游戏行业内已经毫不稀奇了;攻击成本低廉,是防护成本的1/N,攻防两端极度不平衡;攻击方式越来越复杂、攻击点越来越多,基本的静态防护策略无法达到较好的效果

破解与外挂

大多是利用游戏客户端或服务端的安全漏洞,或者通过游戏社区、内置交流渠道等散布木马,达到破解和挂机的目的;包括常见的内挂、外挂、脱机挂程序,改变游戏正常数据、破坏游戏平衡,极大影响游戏运营;

垃圾注册、游戏盗号等

大量注册小号、获取新号奖励和刷金币、刷道具;通过自动化扫库撞库方式进行盗号;还有渠道商利用模拟器的流量作弊等等… …

移动增长趋势

移动端的快速增长带来移动安全的重要性显著提升

阿里游戏云刚刚推出了游戏全球化解决方案,同时进对安全策略也有升级,有兴趣可以点此了解>>

随着游戏精品化趋势,随便换皮上线就能赚钱的情况越来越少了;精品化的游戏运营、需要关注游戏更长生命周期的综合安全问题;游戏安全,早已不是简单的带宽比拼、或个别防护产品或防护策略应对的阶段;是结合了安全信息全网采集、针对性大量的攻防实战演练、以及全方位的安全防护;当然,所有这些都需要有一个简单的用户界面、和比较好的性价比;

aq

让我们来讨论下:

1、 除了大流量攻击,您还了解哪些会严重影响游戏运营的安全问题?
2、 您亲身经历过哪些安全问题困扰?是如何解决的?效果如何?
3、 您了解所管理游戏业务的整体安全性与风险隐患吗?有应对预案吗?
4、 对于行业内的安全服务和安全解决方案,您有什么看法和建议?

参与话题

奖品区域 活动规则 已 结束

  • 奖品一

    王坚新著《在线》 x 1

  • 奖品二

    优酷VIP月卡 x 4

1644个回答

2

keller.zhou 已获得优酷VIP月卡 复制链接去分享

然现在的应用开发越来越趋向于web应用,大型软件也大量使用了现有的框架,随着现有框架和引擎的完善,绝大多数安全问题已经被解决。但是遇到一些定制需求时,开发人员还是不得不从底层一点点进行设计。这时,没有安全经验的开发人员很容易犯下错误,导致严重的安全隐患。本文以一款自主引擎的大型网络游戏为例,展示开发中容易被忽略的隐患。开发过程中有太多容易被忽视的安全问题,其中绝大多数都是过分“信任”造成的。信任同事的代码,信任自己的代码,信任调用来源的合法性,信任用户的操作,正是这些原本不应该的信任给攻击者留下了攻击的空间。开发原本就是一个创造性的工作,我们更应该去怀疑而不是信任。怀疑一切也许并不能提高开发效率,但在关键时刻却可以挽救整个系统。

乘风in 回复

测试一下

乘风in 回复

测试一下

搞么罗 回复

大型游戏服务器架构,参考:https://yq.aliyun.com/articles/688653

评论
1

pskoty 已获得优酷VIP月卡 复制链接去分享

主要有以下方面的问题:
1.登录认证
网页游戏几乎都是以联运方式运营,意味着游戏服务器本身不保存用户密码,用户登录在平台,通过平台跟游戏服务器的接口对接登录。接口做加密认证。故页游的帐号密码安全问题,这里不提了。但登录认证的hash字符串安全,也还是要注意的。比如登录hash字符串的生效时间,hash字符串的加密参数来源,比如包括用户名、登录IP,浏览器user-agent等数据,以防止改hash被泄漏了,也是很难通过服务器的验证。
2.游戏充值
页游的游戏充值流程,跟普通网页充值流程一致,没有特殊的地方,其不同点就是跟其他众多平台做联合运营时,势必要每个公司做接口对接,且接口规范各式各样,且游戏厂商没有话语权,必须按照他们的接口规范来,这实在棘手。
3.远程文件引入
远程文件引入 在网页游戏的研发中,多数都是使用框架来做,即使用REQUEST来的参数,作为请求文件名的一部分,来使用,那么很容易形成远程文件引入的漏洞。在我们之前的游戏中,曾出现过一例这样的漏洞问题。
4.SQL 注入
SQL注入原理、方式,跟普通web应用一样,没什么特别的,在使用REQUEST来的参数时,过滤处理即可。可能在消息格式,以及注入操作简便上,会蒙蔽研发人员的眼睛,被忽略掉了。比如我们项目的AMF消息格式,在前端界面没出来之前,我们后端程序员一般使用Pinta来模拟操作,调试程序。前端界面出来之后,会使用Charles proxy来捕捉http请求。在这些过程中,请求接口、参数的构造,没有普通web那么简单。研发人员也容易忽略对请求参数的过滤,故很容易形成这种问题。
5.通讯协议与消息格式
网页游戏虽然名字叫网页游戏,但通讯协议并非全是http,也有很多使用socket,以及http+socket并用的做法。在http与https的取舍上,考虑到ssl的启用后,大量的ssl解密加密运算,势必会增加服务器大量的CPU计算压力。而传输的内容,多数是游戏业务的操作,响应,是能接受被监听嗅探的行为的(认证信息除外)。站在安全角度,这不能理解。但站在产品角度,考虑一下 投入产出,然后选择http通讯,也是可以理解的。socket在我们游戏中,除了在聊天应用上使用外,在一些组队、帮派战之类需要多个玩家之间同步数据信息时,我们也会使用socket来推送数据。在使用socket作为所有业务传输的协议时,协议格式一般都是开源协议,比如msgpack、protobuf之类,或者自定义的协议。使用自定义协议时,务必检测整个消息包的每一个参数,类型范围,避免个别超大数值、边界数值出现,导致主程序内存越界,以至于服务宕机,无法正常服务的情况发生。

蕴藉 回复

游戏行业DDoS攻击太狠了,大多数客户对其他安全问题都不关注。
以上这些问题在游戏行业很严重吗?我们接触的很多人根本不关心这些问题啊

评论
2

浮生递归 已获得优酷VIP月卡 复制链接去分享

1、 除了大流量攻击,您还了解哪些会严重影响游戏运营的安全问题?
深度玩过各种全球体量的游戏,如WOW、DIABLO3等。除了大流量攻击外,这些世界级的游戏都在数据和程序安全方面出现过问题。主要集中体现在帐号被盗、游戏内诈骗和程序BUG利用上。

2、 您亲身经历过哪些安全问题困扰?是如何解决的?效果如何?
由于自己是做开发的,所以帐号从来没有被盗过,但是经常有一起玩的被盗。不过在游戏里交易点卡时,还是被骗了一次,而对方就是用盗过来的帐号进行诈骗的。当然,被骗了这次后,吸取了经验,就再也没上当过了。至于程序BUG比较简单,发现了,不要去利用,上报给客服就行了。其他人利用BUG获利时,一般运营商就是看严重性,特别严重通常就是回档。

3、 您了解所管理游戏业务的整体安全性与风险隐患吗?有应对预案吗?
游戏这产品用户基数大,频率高,业务结构复杂,出现BUG很正常。如何正确应对才是主要考虑的方向。一般大游戏公司都会有一套相应的应对预案,就如同我们互联网公司,也会对自己的产品有一套应对预案一样。

4、 对于行业内的安全服务和安全解决方案,您有什么看法和建议?
既然BUG无法避免,那就是在游戏规则上降低BUG造成的影响,和从根源上断绝用户对BUG进行利用的想法。比如限制各种物品、装备的交易等,就可以很大程序降低安全问题对游戏运营产生的负面影响

1

happycc 已获得王坚新著《在线》 复制链接去分享

一、游戏安全的本源
安全是指不受威胁,没有危险、危害、损失。人类的整体与生存环境资源的和谐相处,互相不伤害,不存在危险的危害的隐患。是免除了不可接受的损害风险的状态。安全是在人类生产过程中,将系统的运行状态对人类的生命、财产、环境可能产生的损害控制在人类能接受水平以下的状态。
马斯洛理论把需求分成生理需求、安全需求、归属与爱的需求、尊重需求和自我实现需求五类,依次由较低层次到较高层次排列,下层的需求是上层需求的基础。

安全上的需求主要是指人们对人身安全、健康保障、资源所有性、财产所有性、道德保障、工作职位保障、社会家庭安全等方面的需求。
而网络游戏作为一个虚拟社会,人们对安全的需求对应到游戏中,我们能看到是什么呢?
从上图我们看出:人们对人身安全、健康保障的需求对应到游戏中可以理解玩家对于游戏帐号角色的安全需求;财产所有性需求对应为玩家对于游戏中虚拟财产安全需求;资源所有性和工作职位保障对应游戏中是游戏内公平竞争的需求;道德保障在游戏中可以理解为玩家对于健康良性的游戏公共环境的诉求;社会家庭安全可以认为是玩家对游戏整体稳定运营的需求。
然而帐号被盗、虚拟财产转移、外挂、工作室、虚假恶意消息、私服等等游戏中的安全问题严重影响了玩家对于游戏安全的需求。
当玩家对于游戏安全的需求无法得到满足的时候,将会带来什么样的后果?让我们看一组数据:
)

从历年调研机构的统计结果来看,游戏安全问题、外挂等已经成为导致玩家流失首要因素,严重影响游戏健康发展。因此当玩家在游戏中的安全需求得不到满足的情况下势必带来的是玩家的流失。
如何解决这些影响游戏安全的问题,满足玩家游戏中的安全需求,维持游戏的不断健康良性的发展,本文将重点就目前网络游戏的安全问题进行分析,同时对腾讯的解决方案进行介绍。
二、网络游戏安全问题
从2000年中国大陆发行第一款大型多人在线游戏以来,中国网络游戏经过十几年的发展,无论在产品数量以及用户规模方面,都有了很大的提升。但与此同时也滋生了外挂、私服、盗号、打金工作室、网络信息诈骗等一系列的灰色产业链,由此引发的游戏安全问题也成为影响游戏正常运营和发展的重要因素。
纵观网络游戏的发展史,所面临的安全问题,大致可以分为5类:外挂、帐号安全问题、私服、打金工作室、信息安全问题。此外还有一些服务器和运维安全方面的问题。
2.1外挂

外挂可以说是影响网络游戏正常运营的首要问题,玩家利用外挂可以打破游戏的平衡性,破坏游戏的正常经济系统,影响玩家游戏内的正常体验和游戏公司的收入,工作室外挂则衍生出了打金工作室问题,随外挂绑定的木马病毒可能引发帐号安全问题,而游戏内宣传外挂的恶意信息也会严重影响游戏的整体环境,可以说外挂是游戏安全问题的“万恶之源”。
2.1.1什么是外挂

外挂:通过修改游戏的部分程序或数据,严重破坏游戏平衡性、扰乱游戏规则、影响玩家体验感的第三方非法程序。
2.1.2 外挂成因
外挂问题在中国为何“百反不尽”?究其原因主要有以下四点:
l 玩家热衷外挂
从任天堂的金手指到金山游侠、游戏修改大师,再到星际争霸中的“show me the money”,可能很多老玩家对这些并不陌生,由此也养成了很多玩家玩游戏乐于找捷径、挖bug的习惯。外挂充分的满足了这些玩家的需求,能够让玩家在游戏中的成长水平得到快速的提高。

与此同时网络游戏玩家的年龄结构很大一部分在19岁以下,这个年龄段的玩家在性格上相对来说会比较叛逆,喜欢追求不一样的东西,而外挂正好能够让他们拥有完全不一样的游戏体验。
l 游戏自身安全性不足
游戏开发方缺乏安全方面的经验,游戏自身安全性不足,大量的游戏逻辑被放到客户端,同时缺乏服务端的校验,导致游戏可以外挂修改利用。
2.1.3 外挂分类
基于目前外挂的实现原理上来区分,大致可以分为以下四类:
2.2 帐号安全问题

盗号对于大家来说都不陌生,玩家在游戏中花了大量的时间和精力积攒起来的角色、装备、金币等都是宝贵的虚拟财产,一旦这些东西被非法盗取,有可能换来的是玩家的彻底流失,帐号安全问题在很大程度上也影响着一款游戏的长久稳定运营。
2.2.1帐号安全问题定义
帐号安全问题:通过盗号木马、钓鱼等方式对玩家的游戏帐号进行盗取,并由账号被盗带来的虚拟财产转移、恶意操作等问题。
2.2.2帐号安全问题成因
帐号安全问题成因主要有以下四点:
l 玩家安全意识不足
虽然随着网络的普及应用,玩家对于网络安全的认识越来越深,但依然存在安全意识不足的问题,不良的上网习惯再加上侥幸心理,在浏览一些挂马网站、打开一些种马文件的过程中,导致机器中毒帐号被盗。
l 外挂对木马精确投放的促进作用
在游戏帐号被盗的绝大多数玩家中,曾经使用过外挂的占很高的比例,不少外挂中都绑定了木马,玩家在使用外挂的同时,为了保证外挂稳定运行,甚至会主动关闭杀毒软件,导致木马有机可乘。

l 木马盗号产业化
高额的黑色收入让网游盗号产业化,渐渐形成了盗Q、卖号、转移虚拟财产、发广告、诈骗等系列“黑色”获利点,同时也养肥了木马编写、号码交易、辅助软件等周边“灰色”市场。产(生产木马)、挂(挂马)、销(销脏)、洗(洗钱)分工明确。
2.2.3 帐号安全问题分类
帐号安全问题大致可以分为以下三类:
l 盗号木马:用于盗取玩家帐号密码的木马病毒。
l 钓鱼:假客户端、假输入框、钓鱼网站

l 由账号被盗带来的虚拟财产转移、恶意操作
三、总结
随着腾讯游戏的不断发展,同样也面临着各种各样的网络游戏安全问题。在与外挂、盗号木马、虚假恶意消息、打金工作室、私服对抗的过程中,我们主要通过接入自主研发的腾讯游戏安全平台,利用各种技术方案对安全问题进行及时的解决,为游戏的稳定运营保驾护航。
目前腾讯游戏安全平台已经为全公司30多款游戏的客户端提供了保护,上千万的玩家在每天的游戏中能够亲切的感受到安全平台给他们的游戏体验和虚拟财产带来的保障。
与此同时,我们也能够看到不少新的游戏自身的安全性提高了很多,但是安全是一个没有终结的对抗过程,只要有利可图,必然有不法者尝试去破坏游戏,而我们也做好了时刻为保障游戏正常运营、提升玩家体验而努力的准备。

0

1881988631309875 已获得优酷VIP月卡 复制链接去分享

网络游戏玩家的账号被恶意盗窃、装备被盗卖、在非正规公司可以用极低的价格购买到游戏币……种种非正规的游戏运作,使得网游公司的运营受到了极大的冲击,也使正规运作的游戏玩家受到了不公平的对待一自己努力了好久才得到1000游戏币,可是人家只花了十几块钱就得到了1000游戏币。付出的悬殊迫使玩家也走上了“便捷”之路。

  如今,有很多黑客专注干游戏程序的漏洞研究,相当多的黑客以一种并不严密但却绝对保密的团体进行盈利活动。那么,偷盗网络游戏装备究竟是怎么操作的?这种以盈利为目的的黑客又是如何团体作战的呢?

  通过网络盗取游戏装备再进行倒卖已经形成了一个个组织很严密的圈子,类似于公司但不是公司。由于现在国内还没有关于网络货币方面的法律法规,因此他们游走在法律的边缘,赚取不用纳税的高颔利润。

  这种圈子一般是由两条线组成的,一条是专门负责技术也就是获取装备的,一条是负责销售通过前者获取的装备。一些黑客有组织地盗取网游用户账号、盗取装备,而他们所盗取的装备通常都是顶尖的装备。

  黑客的构成则相对单一,寻找黑客实际上也并不像人们想象中的那么难。圈内人都会知道到一些研讨黑客技术的网站上面就能发现一些黑客。黑客之所以成为黑客,首先是出于对技术的热爱;其次就是自身的一些窥私砍,一些年纪很轻就成为黑客的小孩经常会在成为黑客初期,出于炫耀的目的“黑”掉一些网站,这也给一直在搜索“黑客”为其提供“货源”的收货代理商们提供了线索。

2

bloom 复制链接去分享

安全问题,有的时候恐怕不只是代码问题这么简单,更多的是管理问题。

微软代码泄漏,传奇代码泄漏,包括刀塔传奇的各种私服,这些都和代码质量无关吧。然而这些安全问题才是真正致命的。

其实这和老板只管赚钱,从开始就没把安全当回事有关系。这也是没办法的事,毕竟要真正做到安全,付出的代价可不小,一般都是抱着侥幸心理的多。

如果管理得当,员工用心,公司有十分完善的安全制度,那就能避免至少绝大部分的损失。

沉思晨山 回复

嗯认同

猪猪白白 回复

赞同

蕴藉 回复

说实话,大多数人都是不出事不管安全,出安全事件了再让IT去背锅的

评论
4

似水的流年 复制链接去分享

玩游戏的时候遇到过一次服务器瘫痪,游戏登不上去了,后来她们连夜修复,但是作为游戏公司的损失肯定是很大的。对于一些黑客盗号,他们常常使用发送木马链接,扫描撞库,暴力破解,ddos等。是不是可以考虑限制ip的方法来缓解这个问题?还有游戏数据库要多重备份,防止丢失。好想看看《在线》

陌晴 回复

同意

评论
3

1301788892860007 复制链接去分享

1、浪费时间。
2、容易使人沉迷(这个需要看个人的自制力)
3、找不到真实的自我,容易在虚幻中迷失自己。
4、在虚幻的世界中觉得会更开心,从而使自己在现实世界中迷茫,彷徨。
5、浪费金钱。
6、容易接受些不良的信息
7、容易使人变得懒惰,不愿去着手现实生活中的事情。
8、会潜移默化的改变人的性格,容易使人变得孤僻,不爱说话。

上边的说的或许某些人会出现。其实并不是说网游就肯定会有危害。
只要自己的态度明确,游戏本来就是被娱乐消遣的方式。所以,正视游戏就好。
把握自己的生活和时间,不要把游戏看的太重要,可有可无就好

亚楠 回复

完全赞同

评论
2

1953688799298128 复制链接去分享

然现在的应用开发越来越趋向于web应用,大型软件也大量使用了现有的框架,随着现有框架和引擎的完善,绝大多数安全问题已经被解决。但是遇到一些定制需求时,开发人员还是不得不从底层一点点进行设计。这时,没有安全经验的开发人员很容易犯下错误,导致严重的安全隐患。本文以一款自主引擎的大型网络游戏为例,展示开发中容易被忽略的隐患。开发过程中有太多容易被忽视的安全问题,其中绝大多数都是过分“信任”造成的。信任同事的代码,信任自己的代码,信任调用来源的合法性,信任用户的操作,正是这些原本不应该的信任给攻击者留下了攻击的空间。开发原本就是一个创造性的工作,我们更应该去怀疑而不是信任。怀疑一切也许并不能提高开发效率,但在关键时刻却可以挽救整个系统。

蕴藉 回复

绝大多数安全问题已经被解决???
我看到的是安全问题越来越多,安全事件层出不穷,越演越烈。

评论
1

1974688782677132 复制链接去分享

外挂,游戏怪物采用独一无二的昵称命名(有的是怪物id文件被破解),不检测键盘与鼠标输入来源(游戏启动时应检测一下输入信息是否来自USB驱动/接口,并绑定Mac),游戏应检测玩家有效按键频率(面对一些特定的对话任务或其他,在1秒或更短时间结束的明显不是玩家能做到的),工作室小号抢怪与刷金严重影响玩家正常体验,一天在线时间连续超过12小时(一直存在游戏角色操作或其他,纯粹的挂机应被排除)应强制下线并禁止登录一定时间,列入非法玩家检测名单(12小时从不下线,不吃不喝?铁人?明显有问题)

水之珈百璃 回复

最后一点真的说不定我见过很多人都是从早上9点甚至更早开始玩电脑到午夜12点甚至更晚 然后一觉睡到9点。。。如此循环 好吧这个其实就是我@_@

taytay 回复

.

评论
3

1606788445813428 复制链接去分享

说实话,所有游戏都存在漏洞,只是看值不值得攻击而已

2

陈九局 复制链接去分享

如今,很多公司都是从事游戏的开发,电脑用户的选择非常多,
游戏分为本机和网络两种,本机游戏是指不需要网络登录就可以玩的游戏,这类游戏一般是一次付费或免费就可以玩了,如图所示是Vista系统内置的一些游戏。
网络游戏分为免费和付费两种,免费就是登录游戏网站后注册一个用户名就可以玩的游戏,通过游戏的胜负提升等级,如图所示。
付费的是需要购买账号、游戏币等资源的游戏。win7系统下载这些游戏由于必须消费人民币及花费数颔较大,所以,已经成为了黑客破解漏洞的重要动力及收人来源,如图所示。
网络游戏玩家的账号被恶意盗窃、装备被盗卖、在非正规公司可以用极低的价格购买到游戏币……种种非正规的游戏运作,使得网游公司的运营受到了极大的冲击,也使正规运作的游戏玩家受到了不公平的对待一自己努力了好久才得到1000游戏币,可是人家只花了十几块钱就得到了1000游戏币。付出的悬殊迫使玩家也走上了“便捷”之路。
  如今,有很多黑客专注干游戏程序的漏洞研究,相当多的黑客以一种并不严密但却绝对保密的团体进行盈利活动。那么,偷盗网络游戏装备究竟是怎么操作的?这种以盈利为目的的黑客又是如何团体作战的呢?
  通过网络盗取游戏装备再进行倒卖已经形成了一个个组织很严密的圈子,类似于公司但不是公司。由于现在国内还没有关于网络货币方面的法律法规,因此他们游走在法律的边缘,赚取不用纳税的高颔利润。
  这种圈子一般是由两条线组成的,一条是专门负责技术也就是获取装备的,一条是负责销售通过前者获取的装备。一些黑客有组织地盗取网游用户账号、盗取装备,而他们所盗取的装备通常都是顶尖的装备。
  黑客的构成则相对单一,寻找黑客实际上也并不像人们想象中的那么难。圈内人都会知道到一些研讨黑客技术的网站上面就能发现一些黑客。黑客之所以成为黑客,首先是出于对技术的热爱;其次就是自身的一些窥私砍,一些年纪很轻就成为黑客的小孩经常会在成为黑客初期,出于炫耀的目的“黑”掉一些网站,这也给一直在搜索“黑客”为其提供“货源”的收货代理商们提供了线索。
 对于黑客而言,盗取QQ、游戏装备或者银行账户密码的技术要求都是一样的,也就是说,具备了盗取游戏装备的黑客同时也具备了盗取QQ、用户银行密码的能力。具体出卖什么完全取决于市场,完全以市场为导向。由于盗窃银行密码已经涉及犯罪,因此从事这方面业务的也不多。而网游的普及性以及装备的稀缺,使得这方面的市场需求十分旺盛。下图所示就是正在对某款系统下载游戏进行抓包分析的黑客工具界面。

1

happycc 复制链接去分享

就在不久前有个自称为“DERP”的黑客团体对各大欧美游戏服务器和网站发动DDoS攻击,目前已确认遭受信息安全攻击的有《英雄联盟》、《魔兽世界》和EA(美商艺电)的首页。

  不过据外媒消息指出这群(个)黑客攻击目标并不是特别针对游戏厂商,而是针对单一玩家Phantoml0rd,也就是《英雄联盟》玩家所熟知的“鬼王”,同时也是个游戏实况主。

  黑客主要是以“鬼王”所实况的游戏为主要目标,一旦成功弄倒目标之后,便会在推特上发布战果,目前暴雪和EA都还没有对此次的攻击事件作响应。

  不过针对《英雄联盟》的部分官方已有响应,表示攻击者是知名的黑客团体“Anonymous”,Anonymous会攻击《英雄联盟》美洲服务器,目标是要Riot更加重视欧服玩家服务器质量,但至于DERP的目的为何,现在依然是未知数。

  游戏服务器和网站攻击事件也时有发生,这方面确实一直存在比较大的数据安全漏洞,这就需要各大游戏网站以及广大游戏玩家提高警惕了。除了提高系统的安全等级,更频繁的维护系统之外,利用加密技术及其软件进行防护是很好的办法!

ylbyyn 回复

评论
2

1162388514460872 复制链接去分享

现在的网络游戏真的很丰富,但是不需要实名认证,很多的小学生,都可以玩,不学习,导致学业落后,建议可以实名认证,这样子,就不会危害中少年儿童了。

2

cloudniu 复制链接去分享

一是服务器端使用了一些有问题的技术,例如有心脏出血漏洞的OpenSSL库。我还见过web服务器的WebAPI都是HTTP协议,然后逻辑验证密码都是简单md5变换后直接写在头部。。。
二是外挂,主要是发送非法修改的数据,或者重放攻击之类,有些可能会造成刷数据,导致虚拟资产流失
三是DDoS攻击,但从业以来并未见过,不知道是否是有防护或是没遇到过攻击

2

1374965723987396 复制链接去分享

外挂,游戏怪物采用独一无二的昵称命名(有的是怪物id文件被破解),不检测键盘与鼠标输入来源(游戏启动时应检测一下输入信息是否来自USB驱动/接口,并绑定Mac),游戏应检测玩家有效按键频率(面对一些特定的对话任务或其他,在1秒或更短时间结束的明显不是玩家能做到的),工作室小号抢怪与刷金严重影响玩家正常体验,一天在线时间连续超过12小时(一直存在游戏角色操作或其他,纯粹的挂机应被排除)应强制下线并禁止登录一定时间,列入非法玩家检测名单(12小时从不下线,不吃不喝?铁人?明显有问题)

2

度上高楼 复制链接去分享

就游戏的运营,我想到二种可以破坏游戏的平衡一种是wpe开刷取数据包,从而达到免费充值或者免费获取道具的目的。wpe在在网上搜到很多教程和资料,一般人用心学,也会成为刷包高手。还有一种是用按键精灵来代替人来完成一些操作,做自动挂机的脚本或者自动完成的脚本,这个很容易实现。

1

1487688897320300 复制链接去分享

游戏自身安全性不足

  游戏开发方缺乏安全方面的经验,游戏自身安全性不足,大量的游戏逻辑被放到客户端,同时缺乏服务端的校验,导致游戏可以外挂修改利用。

  外挂分类

  基于目前外挂的实现原理上来区分,大致可以分为以下四类:

  帐号安全问题

  盗号对于大家来说都不陌生,玩家在游戏中花了大量的时间和精力积攒起来的角色、装备、金币等都是宝贵的虚拟财产,一旦这些东西被非法盗取,有可能换来的是玩家的彻底流失,帐号安全问题在很大程度上也影响着一款游戏的长久稳定运营。

  帐号安全问题定义

  帐号安全问题:通过盗号木马、钓鱼等方式对玩家的游戏帐号进行盗取,并由账号被盗带来的虚拟财产转移、恶意操作等问题。

  帐号安全问题成因

  帐号安全问题成因主要有以下四点:

  玩家安全意识不足

  虽然随着网络的普及应用,玩家对于网络安全的认识越来越深,但依然存在安全意识不足的问题,不良的上网习惯再加上侥幸心理,在浏览一些挂马网站、打开一些种马文件的过程中,导致机器中毒帐号被盗。

  外挂对木马精确投放的促进作用

  在游戏帐号被盗的绝大多数玩家中,曾经使用过外挂的占很高的比例,不少外挂中都绑定了木马,玩家在使用外挂的同时,为了保证外挂稳定运行,甚至会主动关闭杀毒软件,导致木马有机可乘。

  木马盗号产业化

  高额的黑色收入让网游盗号产业化,渐渐形成了盗Q、卖号、转移虚拟财产、发广告、诈骗等系列“黑色”获利点,同时也养肥了木马编写、号码交易、辅助软件等周边“灰色”市场。产(生产木马)、挂(挂马)、销(销脏)、洗(洗钱)分工明确。

  帐号安全问题分类

  帐号安全问题大致可以分为以下三类:

  盗号木马:用于盗取玩家帐号密码的木马病毒。

  钓鱼:假客户端、假输入框、钓鱼网站

  由账号被盗带来的虚拟财产转移、恶意操作
1

1892988267967496 复制链接去分享

资源上行进行加码加密,下行进行解码解密。加码方式和码的生成决定方法的可行。

1

岁月如风 复制链接去分享

哪有攻不破的城池?除非你不暴露在外网。

17