51Testing软件测试论坛

标题: 求助大佬解决安全问题 [打印本页]

作者: zjtest001 时间: 2020-7-23 15:02
标题: 求助大佬解决安全问题
先介绍在最近工作上遇到的问题~
目前项目组有款产品一直在小范围买量测试数据，某个版本更新了一个积分兑换商城（兑换有积分要求和兑换次数限制），但是上线后发现有玩家可以无限刷积分商城道具（积分和次数限制都没有生效）
发现问题后立即做了排查，找到了该问题的原因，1、没有积分也可以兑换是因为服务器没有判断客户端传入的负值 2、次数限制没有生效是因为服务器判断次数的地方位置不对
QA测试时没有发现这两个问题，原因在于客户端对输入字符类型和限制次数做了判断，有部分玩家利用第三方工具绕过客户端进行数据发送，服务器没有验证导致了该次事故

游戏属于mmorpg类型，采用的tcpip协议,请了很多QA来研究发现大家都只会主流的http抓包，本人用wpe发现抓的数据包并不是想要的，翻来翻去也无从入手，陷入了僵局。
这次事故也给大家当头一棒，安全测试也是很重要的一环，如果关键地方没有测试到位，游戏很有可能会被外挂毁掉，项目组几年的辛苦打水漂，甚至公司因此倒闭。
初次到论坛，向各位大佬请教下有没有类似经历和有效的解决办法，可以抓取tcpip协议类的抓包工具或者其他测试接口的工具（主要是测商城兑换，活动购买，副本次数扣除和购买等）

作者: 郭小贱 时间: 2020-7-23 15:35
游戏安全相关之前看到一帖感觉很好，你可以参考看下：https://testerhome.com/topics/21847

作者: zjtest001 时间: 2020-7-23 17:11

郭小贱发表于 2020-7-23 15:35
游戏安全相关之前看到一帖感觉很好，你可以参考看下：https://testerhome.com/topics/21847

谢谢，最近都把心思花在这上面了，等有结果了跟也跟大家一起分享下

作者: jiazurongyu 时间: 2020-7-23 17:35
这个比较麻烦，需要学Tcp的网络层怎么写的，把发送的数据转换成可读的Json。
可以学下python的 struct和socket的库，有问题可以这里问

作者: summer222 时间: 2020-7-23 19:15
这个比较麻烦，需要学Tcp的网络层怎么写的，把发送的数据转换成可读的Json。
可以学下python的 struct和socket的库，有问题可以这里问

作者: zjtest001 时间: 2020-8-22 17:00
目前项目进度紧张，为了不落下进度同时又保证接口稳定，在游戏内容采用GM指令的形式去请求游戏内关键接口（商城购买，副本次数购买、兑换等功能），requests 接口名 {key:value,key:value...},下一步再做成配置case去自动化测试了

欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)