51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 1642|回复: 5
打印 上一主题 下一主题

求助大佬解决安全问题

[复制链接]

该用户从未签到

跳转到指定楼层
1#
发表于 2020-7-23 15:02:32 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
先介绍在最近工作上遇到的问题~
目前项目组有款产品一直在小范围买量测试数据,某个版本更新了一个积分兑换商城(兑换有积分要求和兑换次数限制),但是上线后发现有玩家可以无限刷积分商城道具(积分和次数限制都没有生效)
发现问题后立即做了排查,找到了该问题的原因,1、没有积分也可以兑换是因为服务器没有判断客户端传入的负值  2、次数限制没有生效是因为服务器判断次数的地方位置不对
QA测试时没有发现这两个问题,原因在于客户端对输入字符类型和限制次数做了判断,有部分玩家利用第三方工具绕过客户端进行数据发送,服务器没有验证导致了该次事故

游戏属于mmorpg类型,采用的tcpip协议,请了很多QA来研究发现大家都只会主流的http抓包,本人用wpe发现抓的数据包并不是想要的,翻来翻去也无从入手,陷入了僵局。
这次事故也给大家当头一棒,安全测试也是很重要的一环,如果关键地方没有测试到位,游戏很有可能会被外挂毁掉,项目组几年的辛苦打水漂,甚至公司因此倒闭。
初次到论坛,向各位大佬请教下有没有类似经历和有效的解决办法,可以抓取tcpip协议类的抓包工具或者其他测试接口的工具(主要是测商城兑换,活动购买,副本次数扣除和购买等)
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

  • TA的每日心情
    奋斗
    2024-10-22 14:23
  • 签到天数: 1007 天

    连续签到: 1 天

    [LV.10]测试总司令

    2#
    发表于 2020-7-23 15:35:15 | 只看该作者
    游戏安全相关之前看到一帖感觉很好,你可以参考看下:https://testerhome.com/topics/21847
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    3#
     楼主| 发表于 2020-7-23 17:11:35 | 只看该作者
    郭小贱 发表于 2020-7-23 15:35
    游戏安全相关之前看到一帖感觉很好,你可以参考看下:https://testerhome.com/topics/21847

    谢谢,最近都把心思花在这上面了,等有结果了跟也跟大家一起分享下
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2019-12-27 13:32
  • 签到天数: 15 天

    连续签到: 1 天

    [LV.4]测试营长

    4#
    发表于 2020-7-23 17:35:12 | 只看该作者
    这个比较麻烦,需要学Tcp的网络层怎么写的,把发送的数据转换成可读的Json。
    可以学下python的 struct和socket的库,有问题可以这里问
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    5#
    发表于 2020-7-23 19:15:01 | 只看该作者
    这个比较麻烦,需要学Tcp的网络层怎么写的,把发送的数据转换成可读的Json。
    可以学下python的 struct和socket的库,有问题可以这里问
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    6#
     楼主| 发表于 2020-8-22 17:00:54 | 只看该作者
    目前项目进度紧张,为了不落下进度同时又保证接口稳定,在游戏内容采用GM指令的形式去请求游戏内关键接口(商城购买,副本次数购买、兑换等功能),requests 接口名 {key:value,key:value...},下一步再做成配置case去自动化测试了
    回复 支持 反对

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-17 13:25 , Processed in 0.065929 second(s), 23 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表