游戏安全漏洞一些分享

这篇具有很好参考价值的文章主要介绍了游戏安全漏洞一些分享。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

安全界对漏洞的定义为:在硬件、软件、系统等具体实现或者系统安全策略上存在的缺陷,从而使攻击者能够达到于某种破坏效果。游戏安全漏洞属于常规漏洞的子类,常规漏洞的分类如下图所示:
游戏安全漏洞一些分享
通过以上的漏洞分类图可知游戏漏洞属于常规软件漏洞一种分类。

以漏洞的实现原理为依据,可将游戏安全漏洞划分成3大类,分别为:游戏逻辑漏洞、协议稳定性漏洞、服务端校验疏忽漏洞。

1.1游戏逻辑漏洞介绍

游戏逻辑漏洞也就是传统的外挂功能漏洞,通过修改客户端游戏实现外挂功能,例如无敌、秒怪等功能。该类型漏洞和游戏开发时网络架构有关,并不是所有游戏都能挖掘到该类型的漏洞。游戏逻辑漏洞于游戏客户端实现,通过修改代码、修改数据、调用游戏函数等方式实现漏洞功能。

游戏逻辑漏洞与游戏网络交互关系密切,如果游戏绝大部分逻辑于服务器实现,客户端只是同步结果,则此类型的游戏逻辑安全性较好,能够实现的游戏逻辑漏洞较少。例如:盛大的传奇、网易的梦幻西游等游戏属于强联网的游戏,游戏绝大部分逻辑于服务器实现,游戏自身逻辑安全性较好,从而导致能够实现的游戏逻辑漏洞非常有限。

如果游戏逻辑于客户端实现,则该游戏能够实现很多逻辑漏洞,例如:酷跑游戏属于弱联网游戏,游戏每局过程中玩家可在无网络状况下操作游戏,酷跑存在大量的游戏逻辑漏洞,已出现的外挂功能包括:修改分数加成暴分、修改宠物坐骑属性暴分、无敌功能等。

挖掘游戏逻辑漏洞需要提前了解游戏的网络类型,实时交互的强联网游戏整体逻辑安全性较好,弱联网的游戏逻辑安全性较差。

1.2游戏协议稳定性漏洞介绍

协议稳定性漏洞是指构造畸形协议导致协议处理方在处理协议时出现崩溃的漏洞。该类型漏洞理论上与游戏类型或者服务端网络架构没关系,所有游戏都有可能存在这类漏洞。比如曾经出现过的某游戏PK场掉线外挂就是修改技能数据导致技能使用协议中技能等级字段异常导致的崩溃。这种畸形协议可以是直接构造畸形协议发送,也可以是修改游戏中的数据或者代码导致游戏处理逻辑自动构造畸形协议。

协议稳定性漏洞挖掘过程实际就是畸形协议构造的过程,而畸形协议字段的构造可考虑通过Fuzz工具的思想实现。Fuzz工具的核心可能就是对各种边缘值的总结过程,比如包含:最大值、最小值、0、-1、最大值/2、该类型数据有效值(例如把怪物A的UID换成怪不B的UID)、该类型数据无效值(例如把UID换成随机数)、浮点型数据等等各种情况。

1.3服务端校验疏忽漏洞定义

服务端校验疏忽漏洞是指服务端校验不严或者校验逻辑在客户端的漏洞。该漏洞通常通过修改协议字段实现相关功能。

服务器校验疏忽型漏洞与服务器针对游戏逻辑校验息息相关。此类型漏洞与游戏类型及网络架构无关,只依赖游戏开发人员的逻辑严谨性。例如网易梦话西游安全性很好,但可实现瞬移的漏洞;例如酷跑游戏实时PVP道具模式可通过发包的方式实现无限道具漏洞,利用该功能玩家无限使用道具,由于服务器未对玩家使用道具合法性进行判断导致无限使用道具功能出现。文章来源地址https://www.toymoban.com/news/detail-416210.html

到了这里,关于游戏安全漏洞一些分享的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 【网络安全】JWT安全漏洞

    Json Web Token(JWT) JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在两个组织之间传递安全可靠的信息。 JWT是一个有着简单的统一表达形式的字符串: 头部(Header) 头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。 JSON内容要经

    2024年02月12日
    浏览(35)
  • 开发安全之:split()安全漏洞

    split() 函数不安全,因为它是已弃用的 POSIX 正则表达式函数系列的一部分,该函数系列会在遇到 null 字节时停止读取输入字符串。由于 PHP 允许字符串中包含 null 字节,因此在某些情况下使用这些函数可能很危险,应完全避免。 例 1: 根据给出的 URL http://www.example.com/index.ph

    2024年01月21日
    浏览(53)
  • 安全漏洞分类之CNNVD漏洞分类指南

    适用范围说明 凡是被国家信息安全漏洞库(CNNVD)收录的漏洞,均适用此分类规范,包括采集的公开漏洞以及收录的未公开漏洞,通用型漏洞及事件型漏洞。 漏洞类型 CNNVD将信息安全漏洞划分为26种类型,分别是:配置错误、代码问题、资源管理错误、数字错误、信息泄露、

    2024年02月02日
    浏览(41)
  • 【安全漏洞】ThinkPHP 3.2.3 漏洞复现

    在 HomeControllerIndexController 下的index中传入了一个可控参数,跟进调试看一下。 跟进 display() 一路跟进到 fetch() ,然后一路进入 Hook::listen(\\\'view_parse\\\', $params); 关键地方在这,我们之前 index 里的内容被存入了缓存文件php文件中,连带着我们输入的可控的php代码也在其中,然后包

    2024年02月12日
    浏览(49)
  • Web安全漏洞介绍及防御-文件上传漏洞

    🐳博客主页:举杯同庆 – 生命不息,折腾不止 🌐订阅专栏:『Web安全』 📰如觉得博主文章写的不错,或对你有所帮助的话,请多多支持呀! 👉关注✨、点赞👍、收藏📂、评论。 话题讨论 中国经济周刊-2022-07-08 新闻 万豪国际集团证实了近期一起数据泄露事件,一个月

    2024年02月02日
    浏览(41)
  • 「 典型安全漏洞系列 」12.OAuth 2.0身份验证漏洞

    在浏览网页时,你肯定会遇到允许你使用社交媒体帐户登录的网站。此功能一般是使用流行的OAuth 2.0框架构建的。本文主要介绍如何识别和利用OAuth 2.0身份验证机制中发现的一些关键漏洞。 为了更好的理解OAuth,我们假设有如下场景:有一个提供云冲印的网站,该网站可以将

    2024年04月10日
    浏览(39)
  • 5.5 漏洞扫描:Web安全漏洞扫描及审计

    目录 一、预备知识:Web漏洞的获取方法与w3af 1. 漏洞扫描 2. 漏洞扫描器 3.  w3af 二、实验环境 三、实验步骤 四、实验思考 1. 漏洞扫描         漏洞扫描除用于网络攻击外,还用于对网络的安全防御。系统管理员通过对网络漏洞的系统扫描,全面地了解网络的安全状态,

    2024年02月09日
    浏览(43)
  • 漏洞修复--Haxx curl 安全漏洞 (CVE-2020-8177)

    Haxxcurl是瑞典Haxx公司的一套利用URL语法在命令行下工作的文件传输工具。该工具支持文件上传和下载,并包含一个用于程序开发的libcurl(客户端URL传输库)。Haxxcurl7.20.0版本至7.71.0之前版本中存在安全漏洞。攻击者可利用该漏洞覆盖本地文件。 使用阿里云或者腾讯云的仓库

    2024年02月08日
    浏览(51)
  • 《WEB安全漏洞100讲》(第4讲)CSRF漏洞

    CSRF(Cross-site request forgery),跨站请求伪造,简写 CSRF/XSRF。指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作

    2023年04月08日
    浏览(43)
  • 小迪安全33WEB 攻防-通用漏洞&文件上传&中间件解析漏洞&编辑器安全

    # 知识点: 1 、中间件安全问题 2 、中间件文件上传解析 3 、 Web 应用编辑器上传 编辑器也就是第三方插件,一般都是文件上传漏洞 # 详细点: 1 、检测层面:前端,后端等 2 、检测内容:文件头,完整性,二次渲染等 3 、检测后缀:黑名单,白名单, MIME 检测等 4 、绕过技

    2024年03月16日
    浏览(59)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包