據(jù)悉�����,在《夢(mèng)幻誅仙手游》正式上線前��,就與騰訊WeTest手游安全測(cè)試團(tuán)隊(duì)合作��,對(duì)自身游戲的安全性進(jìn)行了系統(tǒng)檢測(cè)����,在技術(shù)上保證了手游上線后的良好游戲體驗(yàn)���,最大程度完成了原有IP粉絲的轉(zhuǎn)化積累���。騰訊WeTest從2011年初就開始對(duì)手游安全測(cè)試進(jìn)行探索和技術(shù)積累,該測(cè)試已經(jīng)逐漸成為騰訊在研和運(yùn)營手游項(xiàng)目上線前的必經(jīng)環(huán)節(jié)�����。目前�,騰訊WeTest手游安全測(cè)試服務(wù)已經(jīng)通過騰訊云全面開放,服務(wù)廣大的游戲項(xiàng)目��。
騰訊云上的WeTest到底是怎樣保障游戲的安全質(zhì)量���?我們向騰訊WeTest團(tuán)隊(duì)成員進(jìn)行了詳細(xì)訪談���,希望從火熱游戲《夢(mèng)幻誅仙手游》的案例中�����,挖掘出更多內(nèi)容�。
一問:WeTest測(cè)試服務(wù)是如何針對(duì)手游進(jìn)行測(cè)試的���?
答:WeTest手游安全測(cè)試團(tuán)隊(duì)基于對(duì)騰訊游戲多年的測(cè)試經(jīng)驗(yàn)�,歸納出手游安全漏洞主要出現(xiàn)在客戶端��、游戲邏輯和服務(wù)器三個(gè)層面���,因此WeTest測(cè)試服務(wù)會(huì)從三個(gè)層面出發(fā),根據(jù)不同手游玩法制定對(duì)應(yīng)的策略以達(dá)到整體與側(cè)重兼顧的檢測(cè)效果���。
其中�����,客戶端層面的檢查項(xiàng)主要有游戲數(shù)據(jù)加密�、游戲協(xié)議保護(hù)、變速判定�、敏感日志四類監(jiān)測(cè)內(nèi)容;游戲邏輯安全層面的檢查則包含了系統(tǒng)架構(gòu)�����、盜刷漏洞和外掛漏洞三類直接關(guān)乎游戲平衡和盈利根本的內(nèi)容�;服務(wù)器安全層面則對(duì)服務(wù)器宕機(jī)漏洞進(jìn)行專項(xiàng)檢測(cè),為游戲樹立阻擋惡意攻擊的高墻���。
二問:WeTest手游安全測(cè)試團(tuán)隊(duì)對(duì)《夢(mèng)幻誅仙手游》進(jìn)行了哪些重點(diǎn)測(cè)試�?
答:考慮到不同手游玩法檢測(cè)需要使用不同的技術(shù)實(shí)現(xiàn)�,因此在《夢(mèng)幻誅仙手游》安全測(cè)試之初,團(tuán)隊(duì)對(duì)游戲進(jìn)行了詳細(xì)的分析與拆解����,并制定了有針對(duì)性的測(cè)試策略。
由于《夢(mèng)幻誅仙手游》核心玩法包括回合制的PVP與多人PVE���,戰(zhàn)斗實(shí)時(shí)性要求很弱���,客戶端的每次操作均有協(xié)議上報(bào),屬于服務(wù)器強(qiáng)校驗(yàn)游戲。因此��,手游測(cè)試團(tuán)隊(duì)確定了協(xié)議安全的測(cè)試方法為主����,函數(shù)修改與內(nèi)存修改測(cè)試方法為輔的策略。
以《夢(mèng)幻誅仙手游》某個(gè)版本為例�,手游測(cè)試團(tuán)隊(duì)根據(jù)迭代新增內(nèi)容,聚焦了以下測(cè)試重點(diǎn):
1�、經(jīng)濟(jì)系統(tǒng):商會(huì)、商城�����、擺攤���、交易行����、背包出售�。
2���、戰(zhàn)斗力相關(guān):角色屬性����,技能、裝備�、法寶、羽翼����、寵物、仙侶等�。
3、進(jìn)行0�����、負(fù)值����,數(shù)據(jù)溢出攻擊,并發(fā)等漏洞挖掘方式���。
三問:在《夢(mèng)幻誅仙手游》的安全測(cè)試中���,WeTest手游團(tuán)隊(duì)遇到的最大難題是什么?
答:在團(tuán)隊(duì)服務(wù)《夢(mèng)幻誅仙手游》的過程里��,如何在短時(shí)間內(nèi)全面地完成全量內(nèi)容的安全漏洞挖掘是當(dāng)時(shí)面臨的最大挑戰(zhàn)。
由于《夢(mèng)幻誅仙手游》屬于重度MMORPG游戲���,游戲功能系統(tǒng)包含戰(zhàn)力成長相關(guān)系統(tǒng)���、交易系統(tǒng)、寵物系統(tǒng)����、門派、上古戰(zhàn)場(chǎng)��、世界BOSS��、跨服戰(zhàn)����、家園系統(tǒng),各種類型副本以及運(yùn)營活動(dòng)等超過50個(gè)功能系統(tǒng)�����,短時(shí)間完成全量檢測(cè)難度極大�。
而WeTest手游安全測(cè)試團(tuán)隊(duì)采取的是全量自動(dòng)化分析檢測(cè)結(jié)合風(fēng)險(xiǎn)性優(yōu)先級(jí)評(píng)估深度分析的方式解決這一難題:一方面利用智能自動(dòng)化檢測(cè)鎖定系統(tǒng)�����、盜刷、拒絕服務(wù)攻擊等漏洞��,另一方面則對(duì)高風(fēng)險(xiǎn)高優(yōu)先級(jí)的功能系統(tǒng)如戰(zhàn)斗系統(tǒng)�����、成長系統(tǒng)����、交易系統(tǒng)等采取專項(xiàng)分析和漏洞挖掘,同時(shí)完成了對(duì)游戲核心功能深度檢測(cè)和整體系統(tǒng)的全方位檢測(cè)���。
四問:測(cè)試團(tuán)隊(duì)最終發(fā)現(xiàn)了《夢(mèng)幻誅仙手游》哪些嚴(yán)重BUG�����?
答:在根據(jù)測(cè)試前分析確定測(cè)試重點(diǎn)后���,我們利用安全測(cè)試工具對(duì)《夢(mèng)幻誅仙手游》的風(fēng)險(xiǎn)項(xiàng)目進(jìn)行了逐一驗(yàn)證,發(fā)現(xiàn)了兩類致命級(jí)漏洞�,而這兩類漏洞均在測(cè)試階段發(fā)現(xiàn),并在版本發(fā)布前已全部修復(fù)����,在此僅作為案例分享����。
致命安全風(fēng)險(xiǎn)一:角色屬性系統(tǒng)
檢測(cè)結(jié)果顯示�,《夢(mèng)幻誅仙手游》角色屬性加點(diǎn)對(duì)各個(gè)正常邏輯字段均有校驗(yàn),唯獨(dú)對(duì)加點(diǎn)數(shù)值未做負(fù)值判斷和溢出處理���,導(dǎo)致可以通過發(fā)送負(fù)值獲得超大正值結(jié)果�,從而獲取更多點(diǎn)數(shù)分配到主要屬性���,嚴(yán)重破壞游戲玩法�����。
降低其他成長屬性從而增強(qiáng)主要成長屬性
物攻職業(yè)削減法術(shù)屬性以增強(qiáng)其他戰(zhàn)斗屬性
致命安全風(fēng)險(xiǎn)二:寵物系統(tǒng)
前期測(cè)試中�,《夢(mèng)幻誅仙手游》的寵物系統(tǒng)也出現(xiàn)了與一同樣的問題——對(duì)加點(diǎn)數(shù)值未做負(fù)值判斷和溢出處理����,導(dǎo)致修改次要屬性為負(fù)值可以獲取更多點(diǎn)數(shù)分配到主要屬性。
寵物加點(diǎn)協(xié)議發(fā)送一鍵異常值后導(dǎo)致寵物戰(zhàn)力猛增��,寵物直接戰(zhàn)斗無敵����。通過錄制寵物加點(diǎn)協(xié)議,然后修改value字段的值為 2147483647��,導(dǎo)致寵物戰(zhàn)力值異常增大���,嚴(yán)重影響游戲平衡���。
通過修改數(shù)值導(dǎo)致寵物戰(zhàn)斗力異常增大
五問:WeTest手游安全測(cè)試如何處理這些漏洞?
答:對(duì)于盜刷類漏洞�����,我們建議游戲開發(fā)團(tuán)隊(duì)在研發(fā)初期要規(guī)范游戲通信協(xié)議定義�����,對(duì)協(xié)議結(jié)構(gòu)中字段數(shù)和字段類型進(jìn)行安全性檢查�����。在面對(duì)服務(wù)器��,理購買���、結(jié)算等物品發(fā)放請(qǐng)求時(shí)�,需要加強(qiáng)對(duì)請(qǐng)求中各項(xiàng)信息合法性校驗(yàn),另外運(yùn)營側(cè)可以接入運(yùn)營經(jīng)分系統(tǒng)���,對(duì)各種道具和金錢的產(chǎn)出進(jìn)行實(shí)時(shí)監(jiān)控與告警�。
而對(duì)于宕機(jī)類漏洞修復(fù)起來比較簡單���,在因程序健壯性導(dǎo)致的服務(wù)器宕機(jī)漏洞被檢測(cè)出之后��,針對(duì)性做好異常值處理就能夠修復(fù)�。
六問:《夢(mèng)幻誅仙手游》進(jìn)行安全測(cè)試的最終結(jié)果是怎樣的�����?
答:在《夢(mèng)幻誅仙手游》項(xiàng)目測(cè)試階段��,手游安全測(cè)試團(tuán)隊(duì)累計(jì)挖掘出了20個(gè)致命級(jí)漏洞,19個(gè)高危級(jí)漏洞�,28個(gè)中危級(jí)漏洞,將游戲中潛在的盜號(hào)���、物品盜刷�、偽造身份���、服務(wù)器宕機(jī)等各類致命級(jí)�����、高危級(jí)漏洞提前揭露出來��,提前制定修復(fù)方案進(jìn)行修復(fù)�����,并評(píng)估和驗(yàn)收結(jié)果與風(fēng)險(xiǎn)�,為《夢(mèng)幻誅仙手游》上線半年來穩(wěn)定運(yùn)行提供了堅(jiān)實(shí)的技術(shù)保障���。
關(guān)于騰訊云手游安全測(cè)試
騰訊云手游安全測(cè)試(Security Radar),是由騰訊游戲WeTest團(tuán)隊(duì)開放的獨(dú)家手游安全漏洞挖掘技術(shù)���,能夠有效杜絕游戲外掛損失����。產(chǎn)品為企業(yè)提供私密安全測(cè)試服務(wù)�,通過主動(dòng)挖掘游戲業(yè)務(wù)安全漏洞(諸如鉆石盜刷�����、服務(wù)器宕機(jī)��、無敵秒殺等40多種漏洞)����,提前暴露游戲潛在安全風(fēng)險(xiǎn)�,提供解決方案及時(shí)修復(fù),最大程度降低事后外掛危害與外掛打擊成本�。
騰訊云上的WeTest測(cè)試服務(wù)目前包括手游安全測(cè)試���、手游兼容性測(cè)試�、專家兼容性測(cè)試和遠(yuǎn)程調(diào)試服務(wù)�����。其中�����,手游安全測(cè)試服務(wù)已為部落沖突���、保衛(wèi)蘿卜3、皇室戰(zhàn)爭(zhēng)�、王者榮耀��、夢(mèng)幻誅仙等著名手游IP提供了可靠保障。
