求助大佬解决安全问题
先介绍在最近工作上遇到的问题~目前项目组有款产品一直在小范围买量测试数据,某个版本更新了一个积分兑换商城(兑换有积分要求和兑换次数限制),但是上线后发现有玩家可以无限刷积分商城道具(积分和次数限制都没有生效)
发现问题后立即做了排查,找到了该问题的原因,1、没有积分也可以兑换是因为服务器没有判断客户端传入的负值2、次数限制没有生效是因为服务器判断次数的地方位置不对
QA测试时没有发现这两个问题,原因在于客户端对输入字符类型和限制次数做了判断,有部分玩家利用第三方工具绕过客户端进行数据发送,服务器没有验证导致了该次事故
游戏属于mmorpg类型,采用的tcpip协议,请了很多QA来研究发现大家都只会主流的http抓包,本人用wpe发现抓的数据包并不是想要的,翻来翻去也无从入手,陷入了僵局。
这次事故也给大家当头一棒,安全测试也是很重要的一环,如果关键地方没有测试到位,游戏很有可能会被外挂毁掉,项目组几年的辛苦打水漂,甚至公司因此倒闭。
初次到论坛,向各位大佬请教下有没有类似经历和有效的解决办法,可以抓取tcpip协议类的抓包工具或者其他测试接口的工具(主要是测商城兑换,活动购买,副本次数扣除和购买等)
游戏安全相关之前看到一帖感觉很好,你可以参考看下:https://testerhome.com/topics/21847 郭小贱 发表于 2020-7-23 15:35
游戏安全相关之前看到一帖感觉很好,你可以参考看下:https://testerhome.com/topics/21847
谢谢,最近都把心思花在这上面了,等有结果了跟也跟大家一起分享下 这个比较麻烦,需要学Tcp的网络层怎么写的,把发送的数据转换成可读的Json。
可以学下python的 struct和socket的库,有问题可以这里问 这个比较麻烦,需要学Tcp的网络层怎么写的,把发送的数据转换成可读的Json。
可以学下python的 struct和socket的库,有问题可以这里问 目前项目进度紧张,为了不落下进度同时又保证接口稳定,在游戏内容采用GM指令的形式去请求游戏内关键接口(商城购买,副本次数购买、兑换等功能),requests 接口名 {key:value,key:value...},下一步再做成配置case去自动化测试了
页:
[1]