网页游戏安全吗

最近一直在知乎游荡,假期没啥事。
看到有同学@我,问:

大家来研究探讨一下,网页游戏攻防技术。必定,这个话题很敏感。目前,网页游戏已经很多了,会不会被黑产盯上?网页游戏会不会被黑掉,数据库会不会泄露?

我的回答如下:

这个得游戏安全同学来回答更好,不过我说下我的一些hacking心得吧。

网页游戏分两类:flash游戏与html游戏。

flash游戏与服务端通信的消息格式有两类:

1. 是flash特有的amf消息格式。这个格式是可逆的,一般外挂就会逆出这个格式,然后自动化。
2. http协议,这个导致的服务端安全问题和普通的网站基本没什么区别,因为此时服务端都是nginx, lighttp, apache, tomcat之类,服务端语言是:php, java, python之类。

我遇到的一些flash游戏,相关逻辑在客户端进行,缺乏服务端验证,直接导致我可以无限金币,无限装备…开发者以为flash那么厚,看不到运算逻辑,实际上要反编译出源码很容易,比如用swfscan,很多时候的攻击直接在浏览器中间人抓包拦截,就更容易了:)

html游戏

这个和服务端通信就是http了,如果用了html5,也许会用websocket。不过一般都是http协议,所以服务端安全问题和普通网站没什么区别。
由于是html,在客户端上还可能出现XSS, CSRF等问题,这类客户端安全问题可能导致用户账号被劫持等问题。

整体来说,搞网页游戏的攻击成本更低。

最后补充下:早就被黑产盯上了。根本不用想,我最佩服黑产兄弟,他们比我们速度快N倍!

回答完毕。腾讯安全老大coolc转我微博说:

个人判断,此类问题投射在手机游戏领域,是未来主战场。无论是外挂,盗号,装备交易。光外挂一点,一旦攻方大量转移阵地,恐怕大多数公司都会吃不消。当然也是机遇和挑战,挺下来就是行业准入门槛,除了传统黑客攻防,安全的概念强耦合到营收层--即业务安全,是发展的必然

嗯,这方面的安全非常有搞头,非常非常的。欢迎大家讨论。

1 comment

发表评论

电子邮件地址不会被公开。 必填项已用*标注