六问腾讯云手游安全测试:如何在上线前就为《梦幻诛仙手游》诛灭外挂
《梦幻诛仙手游》是由祖龙(天津)科技有限公司研发的一款3D角色、2D场景的回合制手游,该作由腾讯游戏运营,自2016年12月正式公测以来,凭借着良好的游戏性和稳定性,成功延续了网游IP的火爆人气,在今年年初斩获风云榜十大最受欢迎手游奖,也成为了国内端游移植手游的成功范例之一。
据悉,在《梦幻诛仙手游》正式上线前,就与腾讯WeTest手游安全测试团队合作,对自身游戏的安全性进行了系统检测,在技术上保证了手游上线后的良好游戏体验,最大程度完成了原有IP粉丝的转化积累。腾讯WeTest从2011年初就开始对手游安全测试进行探索和技术积累,该测试已经逐渐成为腾讯在研和运营手游项目上线前的必经环节。目前,腾讯WeTest手游安全测试服务已经通过腾讯云全面开放,服务广大的游戏项目。
腾讯云上的WeTest到底是怎样保障游戏的安全质量?我们向腾讯WeTest团队成员进行了详细访谈,希望从火热游戏《梦幻诛仙手游》的案例中,挖掘出更多内容。
一问:WeTest测试服务是如何针对手游进行测试的?
答:WeTest手游安全测试团队基于对腾讯游戏多年的测试经验,归纳出手游安全漏洞主要出现在客户端、游戏逻辑和服务器三个层面,因此WeTest测试服务会从三个层面出发,根据不同手游玩法制定对应的策略以达到整体与侧重兼顾的检测效果。
其中,客户端层面的检查项主要有游戏数据加密、游戏协议保护、变速判定、敏感日志四类监测内容;游戏逻辑安全层面的检查则包含了系统架构、盗刷漏洞和外挂漏洞三类直接关乎游戏平衡和盈利根本的内容;服务器安全层面则对服务器宕机漏洞进行专项检测,为游戏树立阻挡恶意攻击的高墙。
二问:WeTest手游安全测试团队对《梦幻诛仙手游》进行了哪些重点测试?
答:考虑到不同手游玩法检测需要使用不同的技术实现,因此在《梦幻诛仙手游》安全测试之初,团队对游戏进行了详细的分析与拆解,并制定了有针对性的测试策略。
由于《梦幻诛仙手游》核心玩法包括回合制的PVP与多人PVE,战斗实时性要求很弱,客户端的每次操作均有协议上报,属于服务器强校验游戏。因此,手游测试团队确定了协议安全的测试方法为主,函数修改与内存修改测试方法为辅的策略。
以《梦幻诛仙手游》某个版本为例,手游测试团队根据迭代新增内容,聚焦了以下测试重点:
1、经济系统:商会、商城、摆摊、交易行、背包出售。
2、战斗力相关:角色属性,技能、装备、法宝、羽翼、宠物、仙侣等。
3、进行0、负值,数据溢出攻击,并发等漏洞挖掘方式。
三问:在《梦幻诛仙手游》的安全测试中,WeTest手游团队遇到的最大难题是什么?
答:在团队服务《梦幻诛仙手游》的过程里,如何在短时间内全面地完成全量内容的安全漏洞挖掘是当时面临的最大挑战。
由于《梦幻诛仙手游》属于重度MMORPG游戏,游戏功能系统包含战力成长相关系统、交易系统、宠物系统、门派、上古战场、世界BOSS、跨服战、家园系统,各种类型副本以及运营活动等超过50个功能系统,短时间完成全量检测难度极大。
而WeTest手游安全测试团队采取的是全量自动化分析检测结合风险性优先级评估深度分析的方式解决这一难题:一方面利用智能自动化检测锁定系统、盗刷、拒绝服务攻击等漏洞,另一方面则对高风险高优先级的功能系统如战斗系统、成长系统、交易系统等采取专项分析和漏洞挖掘,同时完成了对游戏核心功能深度检测和整体系统的全方位检测。
四问:测试团队最终发现了《梦幻诛仙手游》哪些严重BUG?
在根据测试前分析确定测试重点后,我们利用安全测试工具对《梦幻诛仙手游》的风险项目进行了逐一验证,发现了两类致命级漏洞,而这两类漏洞均在测试阶段发现,并在版本发布前已全部修复,在此仅作为案例分享。
致命安全风险一:角色属性系统
检测结果显示,《梦幻诛仙手游》角色属性加点对各个正常逻辑字段均有校验,唯独对加点数值未做负值判断和溢出处理,导致可以通过发送负值获得超大正值结果,从而获取更多点数分配到主要属性,严重破坏游戏玩法。
降低其他成长属性从而增强主要成长属性
物攻职业削减法术属性以增强其他战斗属性
致命安全风险二:宠物系统
前期测试中,《梦幻诛仙手游》的宠物系统也出现了与一同样的问题——对加点数值未做负值判断和溢出处理,导致修改次要属性为负值可以获取更多点数分配到主要属性。
宠物加点协议发送一键异常值后导致宠物战力猛增,宠物直接战斗无敌。通过录制宠物加点协议,然后修改value字段的值为 2147483647,导致宠物战力值异常增大,严重影响游戏平衡。
通过修改数值导致宠物战斗力异常增大
五问:WeTest手游安全测试如何处理这些漏洞?
答:对于盗刷类漏洞,我们建议游戏开发团队在研发初期要规范游戏通信协议定义,对协议结构中字段数和字段类型进行安全性检查。在面对服务器,理购买、结算等物品发放请求时,需要加强对请求中各项信息合法性校验,另外运营侧可以接入运营经分系统,对各种道具和金钱的产出进行实时监控与告警。
而对于宕机类漏洞修复起来比较简单,在因程序健壮性导致的服务器宕机漏洞被检测出之后,针对性做好异常值处理就能够修复。
六问:《梦幻诛仙手游》进行安全测试的最终结果是怎样的?
答:
在《梦幻诛仙手游》项目测试阶段,手游安全测试团队累计挖掘出了20个致命级漏洞,19个高危级漏洞,28个中危级漏洞,将游戏中潜在的盗号、物品盗刷、伪造身份、服务器宕机等各类致命级、高危级漏洞提前揭露出来,提前制定修复方案进行修复,并评估和验收结果与风险,为《梦幻诛仙手游》上线半年来稳定运行提供了坚实的技术保障。
关于腾讯云手游安全测试
腾讯云手游安全测试(Security
Radar),是由腾讯游戏WeTest团队开放的独家手游安全漏洞挖掘技术,能够有效杜绝游戏外挂损失。产品为企业提供私密安全测试服务,通过主动挖掘游戏业务安全漏洞(诸如钻石盗刷、服务器宕机、无敌秒杀等40多种漏洞),提前暴露游戏潜在安全风险,提供解决方案及时修复,最大程度降低事后外挂危害与外挂打击成本。
腾讯云上的WeTest测试服务目前包括手游安全测试、手游兼容性测试、专家兼容性测试和远程调试服务。其中,手游安全测试服务已为部落冲突、保卫萝卜3、皇室战争、王者荣耀、梦幻诛仙等著名手游IP提供了可靠保障。