提供3000多款全球软件/控件产品
针对软件研发的各个阶段提供专业培训与技术咨询
根据客户需求提供定制化的软件开发服务
全球知名设计软件,显著提升设计质量
打造以经营为中心,实现生产过程透明化管理
帮助企业合理产能分配,提高资源利用率
快速打造数字化生产线,实现全流程追溯
生产过程精准追溯,满足企业合规要求
以六西格玛为理论基础,实现产品质量全数字化管理
通过大屏电子看板,实现车间透明化管理
对设备进行全生命周期管理,提高设备综合利用率
实现设备数据的实时采集与监控
利用数字化技术提升油气勘探的效率和成功率
钻井计划优化、实时监控和风险评估
提供业务洞察与决策支持实现数据驱动决策
原创|行业资讯|编辑:龚雪|2016-06-03 09:58:48.000|阅读 354 次
概述:这两天的安全领域被一个词刷屏了,XcodeGhost,这种病毒不仅会在应用运行时窃取用户信息,甚至还会模拟收费或帐号弹窗来窃取你的iCloud及iTunes密码。
# 慧都年终大促·界面/图表报表/文档/IDE等千款热门软控件火热促销中 >>
相关链接:
这两天的安全领域被一个词刷屏了,XcodeGhost,这种病毒不仅会在应用运行时窃取用户信息,甚至还会模拟收费或帐号弹窗来窃取你的iCloud及iTunes密码。受影响应用数超过76款,涉及用户多达1个亿。
那么XcodeGhost究竟是什么?
简单的说,就是在iOS开发工具中加入一段恶意代码,导致凡是使用这个工具开发的APP都会被感染,而安装被感染APP的手机则会沦为黑客的“玩具”。
在用户心目中“坚不可摧”的苹果生态系统这一次遭遇了“信任危机”,人们开始发现苹果的安全防御机制比想象的更加脆弱。
“信任危机”是企业危机中最严重的之一。“信任危机”让企业无论做什么都会让用户产生怀疑,让企业的一切举措都将事倍功半。
从XcodeGhost漏洞事件来看手游领域,手游的安全问题是引发“信任危机”的重要导火索,作为安全领域的老鸟,在手游一片红海的当下,想谈谈手游安全的重要性,同时想给大家分享一些实用的手游安全测试方法。
来看看几种常见的安全问题:
除了这些问题外,还有非常多的安全问题。这些问题都将直接、间接影响游戏游戏的收入、留存,给开发者造成重大损失。所以,如何预防安全问题迫在眉睫,安全测试应运而生。简单概括安全测试是泛指能够影响游戏平衡性,并且对游戏有破坏性和恶意影响的问题。包括几大安全领域:
其实游戏的本质,是客户端与服务器端的数据通信。安全测试的过程也主要是围绕数据来进行。手游安全测试,其实也是手游安全攻击的过程。在攻击的过程中,让其存在的安全问题自动显现出来。通过对数据的修改,让服务器端承认修改后的异常数据,就是安全测试所需要发现的问题。首先,开始手游安全测试前,需要对游戏的分类有大概了解。
在PC端游盛行的时代,网络游戏根据交互实现的不同就已经分为了两种类型。封包逻辑强校验的游戏,例如MMORPG等类型游戏,这类是主流。还有一类游戏,由于需要考虑到游戏的实时操作体验,使用的是UDP协议交互。这类游戏使用了弱校验的封包逻辑。
而到了手游时代,除了上述两个原因,还需要考虑手机不同于PC端的独特情况。因此,弱校验类型的游戏也变得更多。
针对强校验类型的游戏,一般情况只需要测试器游戏协议封包逻辑。因为,这种类型的游戏,在本地的所有关键数据都不参与运算,均是在服务器端进行的运算。
了解了游戏分类,下面从游戏逻辑内容的角度,说明常规的一些测试方法。
1、协议测试
例如天天富翁和全民小镇等手机游戏,就是属于强校验的手游。玩家在天天富翁游戏内的每个基本操作,都有与服务器端通信处理。例如投掷骰子。
针对这些类型的游戏,并没有太多可以本地修改的内容。因为本地修改的内容,都会通过每个封包去与服务器端交互。
因此,只需要对游戏内的每个封包进行安全测试,那么这个游戏的安全问题,就比较有保证。封包测试时,可以从两个角度进行测试。
可以根据游戏的内容,对测试内容交互封包进行罗列,循序渐进,完成测试。
天天富翁的强制拍卖问题
(在天天富翁的前期版本,可以通过修改发送封包实现强制拍卖对方地标建筑的问题。该BUG为通过修改封包实现。)
2、内存数据修改
而针对弱校验类型的游戏,其在本地有部分的计算替代了服务器端的计算逻辑。目前,更多的做法是在游戏结束时,将计算操作的数据保留发送向服务器端。由服务器端确认计算逻辑的有效性。
例如天天酷跑内角色在游戏内的跳跃等动作。
这种类型的游戏,测试重点则放在了内存数据修改和代码修改上。因为计算的数据存放在本地,虽然服务器端最终有校验处理,但不能够完全的保证校验处理的全面性。
常用的安卓内存修改器
对于手游来说,内存数据修改测试也是目前门槛最低的测试方法。但是测试的覆盖度,相对协议测试来说,没法准备的保证。但是可以根据单局游戏结束时,客户端向服务器端发送的封包、以及游戏界面上的显示数据等来确认可能可以修改的数据内容。
3、代码修改测试
继续弱校验类游戏,当通过修改内存数据不能实现部分测试功能时,亦可通过修改代码实现。如下图。
针对于2dx类型的游戏,可以通过IDA分析so中的函数名称,定位关键函数,修改实现安全测试的功能。
而针对与unity类型的游戏,其主要逻辑代码均存放与C#的dll中。可以通过反编译获取源码后,修改IL代码实现测试功能。
4、变速测试
针对于有些游戏,可以通过调整游戏的运行速度来实现测试功能。
希望的测试结果是,首先,游戏本身的防护可以阻止加速插件的加载;其次,如果可以加速效果,那么希望加速后可以不影响到游戏的功能和平衡性。
如果使用加速后,可以降低游戏难度,或者增加游戏得分,那这就属于安全的问题。
Wetest手游安全测试,主要侧重于APK层面的权限、策略风险等问题。其主要功能包含有:
敏感权限检测、本地数据安全、网络数据安全、应用的C#源代码上的逻辑错误语法错误等问题。
目前市面上的其他保护,更多的是安全加固,提供保护方案。而Wetest的安全测试则侧重于安全扫描的功能,能够自动的发现一些APK层面的问题,并且无需上传工程源代码。
游戏安全领域的攻防向来是道高一尺魔高一丈,攻防双方都处于不断的演变和进化过程中,因此游戏安全防护需要长期持续的研究与投入,是场持久战。
个人认为,手游的安全问题,不是就单靠技术就能完全解决的问题。技术手段只是提高了门槛,并没有从根本上解决手游的安全问题。
这是需要从多方面多管齐下,例如技术防护提高门槛,用户反馈提供渠道信息,法律角度增强威慑。需要提供从多个维度来保护才能达到比较理想的效果。
原文转载自:
本站文章除注明转载外,均为本站原创或翻译。欢迎任何形式的转载,但请务必注明出处、不得修改原文相关链接,如果存在内容上的异议请邮件反馈至chenjj@capbkgr.cn
通过提供强大的3D CAD数据访问工具并适用于桌面、移动和Web的高级环境3D可视化发动机,HOOPS在提升造船设计和制造流程的效率方面发挥了重要作用。
HOOPS Luminate在汽车行业中的应用具有广泛的潜力和深远的影响。它通过提供高效的3D可视化、虚拟装配与拆解、性能分析、客户定制等功能,帮助汽车制造商在设计、生产和销售过程中提升效率、降低成本并提高产品质量。
在不断发展的软件开发世界中,使工具和框架与最新的平台版本保持同步至关重要,欢迎查阅~
全球航运业对国际贸易至关重要,全球 90% 以上的商品通过海运运输。准确监控和控制这些集装箱的移动对于维持高效的供应链至关重要。手动输入集装箱号码是这一程序的关键部分,它带来了相当大的挑战,例如人为错误和效率低下。
针对 C/C++ 软件开发提供统一、完全集成的测试解决方案。
LoadRunnerLoadRunner是一款负载测试软件,可使您精确洞察端到端系统性能,以便在应用正式推出之前识别和解决其中的问题。
服务电话
重庆/ 023-68661681
华东/ 13452821722
华南/ 18100878085
华北/ 17347785263
客户支持
技术支持咨询服务
服务热线:400-700-1020
邮箱:sales@capbkgr.cn
关注我们
地址 : 重庆市九龙坡区火炬大道69号6幢