六问腾讯云手游安全测试:如何在上线前就为《梦幻诛仙手游》诛灭外挂

  • 时间:
  • 浏览:0

《梦幻诛仙手游》是由祖龙(天津)科技有限公司研发的一款3D角色、2D场景的回合制手游。该作由腾讯游戏运营,自2016年12月正式公测以来,凭借着良好的游戏性和稳定性,成功延续了网游IP的火爆人气,在今年年初斩获风云榜十大最受欢迎手游奖,也成为了国内端游移植手游的成功范例之一。

据悉,在《梦幻诛仙手游》正式上线前,就与腾讯WeTest手游安全测试团队合作土最好的措施土最好的措施,对自身游戏的安全性进行了系统检测,在技术上保证了手游上线后的良好游戏体验,最大程度完成了原有IP粉丝的转化积累。腾讯WeTest从2011年初就日后 刚现在结束了了对手游安全测试进行探索和技术积累,该测试怎么能让逐渐成为腾讯在研和运营手游项目上线前的必经环节。目前,腾讯WeTest手游安全测试服务怎么能让通过腾讯云全面开放,服务广大的游戏项目。

腾讯云上的WeTest到底是怎么可不可以保障游戏的安全质量?大伙向腾讯WeTest团队成员进行了删剪访谈,希望从火热游戏《梦幻诛仙手游》的案例中,捞出更多内容。

一问:WeTest测试服务是怎么可不可以针对手游进行测试的?

答:WeTest手游安全测试团队基于对腾讯游戏多年的测试经验,归纳出手游安全漏洞主要经常出现在客户端、游戏逻辑和服务器有2个 层面,怎么能让WeTest测试服务会从有2个 层面出发,根据不同手游玩法制定对应的策略以达到整体与侧重兼顾的检测效果。

其中,客户端层面的检查项主要有游戏数据加密、游戏协议保护、变速判定、敏感日志四类监测内容;游戏逻辑安全层面的检查则蕴含了系统架构、盗刷漏洞和外挂漏洞三类直接关乎游戏平衡和盈利根本的内容;服务器安全层面则对服务器宕机漏洞进行专项检测,为游戏树立阻挡恶意攻击的高墙。

二问:WeTest手游安全测试团队对《梦幻诛仙手游》进行了那先 重点测试?

答:考虑到不同手游玩法检测必须使用不同的技术实现,怎么能让在《梦幻诛仙手游》安全测试之初,团队对游戏进行了删剪的分析与拆解,并制定了有针对性的测试策略。

怎么能让《梦幻诛仙手游》核心玩法包括回合制的PVP与多人PVE,战斗实时性要求很弱,客户端的每次操作均有协议上报,属于服务器强校验游戏。怎么能让,手游测试团队选则了协议安全的测试土最好的措施为主,函数修改与内存修改测试土最好的措施为辅的策略。

以《梦幻诛仙手游》某个版本为例,手游测试团队根据迭代新增内容,聚焦了以下测试重点:

1、经济系统:商会、商城、摆摊、交易行、背包出售。

2、战斗力相关:角色属性,技能、装备、法宝、羽翼、宠物、仙侣等。

3、进行0、负值,数据溢出攻击,并发等漏洞挖掘土最好的措施。

三问:在《梦幻诛仙手游》的安全测试中,WeTest手游团队遇到的最大大什么的问题是那先 ?

答:在团队服务《梦幻诛仙手游》的过程里,怎么可不可以在短时间内全面地完成全量内容的安全漏洞挖掘是当时面临的最大挑战。

怎么能让《梦幻诛仙手游》属于重度MMORPG游戏,游戏功能系统蕴含战力成长相关系统、交易系统、宠物系统、门派、上古战场、世界BOSS、跨服战、家园系统,各种类型副本以及运营活动等超过3000个功能系统,短时间完成全量检测难度极大。

而WeTest手游安全测试团队采取的是全量自动化分析检测结合风险性优先级评估宽度分析的土最好的措施正确处理什儿 大什么的问题:一方面利用智能自动化检测锁定系统、盗刷、拒绝服务攻击等漏洞,此人 面则对高风险高优先级的功能系统如战斗系统、成长系统、交易系统等采取专项分析和漏洞挖掘,同时完成了对游戏核心功能宽度检测和整体系统的全方位检测。

四问:测试团队最终发现了《梦幻诛仙手游》那先 严重BUG?

答:在根据测试前分析选则测试重点后,大伙利用安全测试工具对《梦幻诛仙手游》的风险项目进行了逐一验证,发现了两类致命级漏洞,而这两类漏洞均在测试阶段发现,并在版本发布前已删剪修复,在此仅作为案例分享。

致命安全风险一:角色属性系统

检测结果显示,《梦幻诛仙手游》角色属性加点对各个正常逻辑字段均有校验,唯独对加点数值未做负值判断和溢出正确处理,原因着都必须通过发送负值获得超大正值结果,从而获取更多点数分配到主要属性,严重破坏游戏玩法。



降低什儿 成长属性从而增强主要成长属性



物攻职业削减法术属性以增强什儿 战斗属性

致命安全风险二:宠物系统

前期测试中,《梦幻诛仙手游》的宠物系统也经常出现了与同时样的大什么的问题——对加点数值未做负值判断和溢出正确处理,原因着修改要素属性为负值都必须获取更多点数分配到主要属性。

宠物加点协议发送一键异常值后原因着宠物战力猛增,宠物直接战斗无敌。通过录制宠物加点协议,怎么能让修改value字段的值为 2147483647,原因着宠物战力值异常增大,严重影响游戏平衡。



通过修改数值原因着宠物战斗力异常增大

五问:WeTest手游安全测试怎么可不可以正确处理那先 漏洞?

答:对于盗刷类漏洞,大伙建议游戏开发团队在研发初期要规范游戏通信协议定义,对协议特性中字段数和字段类型进行安全性检查。在面对服务器,理购买、结算等物品发放请求时,必须加强对请求中各项信息合法性校验,另外运营侧都必须接入运营经分系统,对各种道具和金钱的产出进行实时监控与告警。

而对于宕机类漏洞修复起来比较简单,在因程序运行健壮性原因着的服务器宕机漏洞被检测出日后 ,针对性做好异常值正确处理就促进修复。

六问:《梦幻诛仙手游》进行安全测试的最终结果是怎么可不可以的?

答:在《梦幻诛仙手游》项目测试阶段,手游安全测试团队累计捞出了20个致命级漏洞,19个高危级漏洞,28个中危级漏洞,将游戏中潜在的盗号、物品盗刷、伪造身份、服务器宕机等各类致命级、高危级漏洞提前揭露出来,提前制定修复方案进行修复,并评估和验收结果与风险,为《梦幻诛仙手游》上线二天来稳定运行提供了坚实的技术保障。

关于腾讯云手游安全测试

腾讯云手游安全测试(Security Radar),是由腾讯游戏WeTest团队开放的独家手游安全漏洞挖掘技术,促进有效杜绝游戏外挂损失。产品为企业提供私密安全测试服务,通过主动挖掘游戏业务安全漏洞(诸如钻石盗刷、服务器宕机、无敌秒杀等40多种漏洞),提前暴露游戏潜在安全风险,提供正确处理方案及时修复,最大程度降低事后外挂危害与外挂打击成本。

腾讯云上的WeTest测试服务目前包括手游安全测试、手游兼容性测试、专家兼容性测试和远程调试服务。其中,手游安全测试服务已为部落冲突、保卫萝卜3、皇室战争、王者荣耀、梦幻诛仙等著名手游IP提供了可靠保障。

微信公众号搜索"

驱动之家

"加关注,每日最新的手机、电脑、汽车、智能硬件信息都必须给你一手全掌握。推荐关注!【

微信扫描下图可直接关注