《夢幻模擬戰》漏洞挖掘全過程

WeTest 導讀

漏洞和外掛一直是危害遊戲的罪魁禍首，在遊戲行業發展的歷程中，不乏一些經典熱門的遊戲在安全事故中失去江湖地位。不重視遊戲安全的結果，不只讓製做人員的心血毀於一旦，更痛失萬千玩家的熱愛。在現在手遊盛行的時代，如何正視手遊安全，最大化的減小安全事故的發生機率，請跟隨本文一塊兒探索。 

 

---

 

夢幻之源—《夢幻模擬戰》手遊的前世此生

 

《夢幻模擬戰》系列做爲經典的日式戰棋遊戲，自1991年初代做品發佈至今在老一輩中國玩家心中有着極高的地位。2018年初紫龍遊戲正式推出日式王道幻想大做《夢幻模擬戰》的手遊版本，延續原做經典的SRPG玩法，開創戰棋遊戲實時玩家對抗。

 

 

自2018年8月上線appstore至今，《夢幻模擬戰》手遊始終保持在遊戲暢銷榜前Top20的位置。暢銷榜上有不少手遊都有潛在的安全問題，排名越是靠前，熱度越高，越是會讓外掛工做室和黑客趨之若鶩。他們在各類利益的誘導下，對遊戲進行技術破解、利用外掛獲取收益，讓遊戲遭遇公平性的喪失，玩家的遊戲樂趣遭受破壞，直接致使製做廠商的經濟利益遭受損失。

 

《夢幻模擬戰》的發行方紫龍遊戲，對此類風險有着很是超前的認知，在產品正式上線前，就與WeTest的手遊安全團隊進行對接。經過WeTest提供的手遊安全測試，主動挖掘遊戲業務安全漏洞，用來提早暴露遊戲潛在的安全風險，這樣不只能最大程度下降過後外掛的危害，更有效下降外掛的打擊成本。  

   

 

量體裁衣——量身鍛造的安全漏洞挖掘方案

 

- 深度分析 -

        手遊的使用場景與傳統APP有着巨大的差別，不一樣的遊戲玩法， 技術實現都不同，所以手遊安全測試團隊須要對每個遊戲，都從零開始研究遊戲內部實現架構。

 

        首先，WeTest手遊安全團隊對遊戲的構成作了分解，《夢幻模擬戰》的開發遊戲引擎爲Unity3D，遊戲核心邏輯由 C#腳本實現，遊戲類型屬於SRPG。其中，遊戲的核心玩法包括 PVP 和 PVE 戰鬥、經濟系統、英雄系統等。

 

        其次，通過對戰鬥過程當中服務器與客戶端間通訊協議的分析，安全團隊瞭解到該款遊戲的戰鬥實時性要求很是高，全部的操做都有協議上報。PVE戰鬥採用的是客戶端結算上報，服務器校驗的形式。

 

- 實現方案 -

        結合以上特性分析，安全團隊最終肯定，本次手遊安全測試主要採用協議進行漏洞挖掘，使用函數和內存滲透測試的方法進行輔助。針對遊戲的當前運營狀態，精準的制定了本次安全測試項目目標：對《夢幻模擬戰》的經濟系統、戰鬥系統、裝備系統、英雄系統、活動任務、社交系統，針對性地挖掘影響面比較大的漏洞，暴露遊戲中潛在的安全風險，最大程度下降遊戲運營中的外掛影響和打擊成本。

 

 

最終效果

 

手遊安全團隊共發現了3個致命漏洞，1個高危漏洞，4箇中危漏洞，並準肯定位這些漏洞產生的緣由，同時提供了修復漏洞的專業意見。開發商也快速響應並及時修復了問題，一塊兒將隱患消除。《夢幻模擬戰》的技術負責人表示：「外掛問題一直是紫龍在作遊戲過程當中要跨越的雷區，SRPG的遊戲玩法和遊戲內容都很是多，很是須要專業的安全團隊來對遊戲進行一個全方位的檢測，WeTest手遊安全測試爲《夢幻模擬戰》正式開啓不刪檔，創造安全、公平、健康的遊戲環境提供了堅實支撐和保障。」

 

 

關於WeTest手遊滲透測試

 

手遊滲透測試（Security Radar）爲企業提供私密安全測試服務，經過主動挖掘遊戲業務安全漏洞（諸如鑽石盜刷、無敵秒殺等40多種漏洞），提早暴露遊戲潛在安全風險，提供解決方案及時修復，最大程度下降過後外掛危害與外掛打擊成本。該服務爲騰訊遊戲開放的獨家手遊安全漏洞挖掘技術，杜絕遊戲外掛損失。

 

產品優點

1. 預知風險並修復，提早挖掘漏洞，並提供修復方案，讓外掛無機可乘。

2. 專一遊戲，支持Unity3D、UE四、Cocos2D等主流引擎的遊戲，從遊戲通訊協議、客戶端函數安全、腳本邏輯、內存安全、靜態資源安全等多個維度挖掘業務安全漏洞。

3.專家團隊，工程師來自騰訊IEG手遊漏洞測試團隊（SR安全雷達團隊），具備極爲豐富的實戰經驗,曾服務過騰訊自研、累積服務產品版本700+，使用行業首創滲透測試方案提供專業級服務。

4. 星級標準，騰訊遊戲6星級質量標準，得到與《王者榮耀》、《穿越火線-槍戰王者》、《龍之谷》等騰訊頂級手遊同等測試服務品質。

5. 方便安全，無需接入SDK，對遊戲自己無影響；保證產品高度私密性，不公開任何漏洞細節。

 

除外，WeTest平臺於近期升級了手遊安全的解決方案，推出了包括服務器宕機檢測、手遊加固、反外掛及手遊安全掃描等服務。

 

點擊：https://wetest.qq.com/solution/shouyou_protection 便可體驗。

 

若是使用當中有任何疑問，歡迎聯繫騰訊WeTest企業QQ：2852350015