據(jù)悉,在《夢幻誅仙手游》正式上線前,就與騰訊WeTest手游安全測試團隊合作,對自身游戲的安全性進行了系統(tǒng)檢測,在技術(shù)上保證了手游上線后的良好游戲體驗,最大程度完成了原有IP粉絲的轉(zhuǎn)化積累。騰訊WeTest從2011年初就開始對手游安全測試進行探索和技術(shù)積累,該測試已經(jīng)逐漸成為騰訊在研和運營手游項目上線前的必經(jīng)環(huán)節(jié)。目前,騰訊WeTest手游安全測試服務(wù)已經(jīng)通過騰訊云全面開放,服務(wù)廣大的游戲項目。

騰訊云上的WeTest到底是怎樣保障游戲的安全質(zhì)量?我們向騰訊WeTest團隊成員進行了詳細訪談,希望從火熱游戲《夢幻誅仙手游》的案例中,挖掘出更多內(nèi)容。

一問:WeTest測試服務(wù)是如何針對手游進行測試的?

答:WeTest手游安全測試團隊基于對騰訊游戲多年的測試經(jīng)驗,歸納出手游安全漏洞主要出現(xiàn)在客戶端、游戲邏輯和服務(wù)器三個層面,因此WeTest測試服務(wù)會從三個層面出發(fā),根據(jù)不同手游玩法制定對應(yīng)的策略以達到整體與側(cè)重兼顧的檢測效果。

其中,客戶端層面的檢查項主要有游戲數(shù)據(jù)加密、游戲協(xié)議保護、變速判定、敏感日志四類監(jiān)測內(nèi)容;游戲邏輯安全層面的檢查則包含了系統(tǒng)架構(gòu)、盜刷漏洞和外掛漏洞三類直接關(guān)乎游戲平衡和盈利根本的內(nèi)容;服務(wù)器安全層面則對服務(wù)器宕機漏洞進行專項檢測,為游戲樹立阻擋惡意攻擊的高墻。

二問:WeTest手游安全測試團隊對《夢幻誅仙手游》進行了哪些重點測試?

答:考慮到不同手游玩法檢測需要使用不同的技術(shù)實現(xiàn),因此在《夢幻誅仙手游》安全測試之初,團隊對游戲進行了詳細的分析與拆解,并制定了有針對性的測試策略。

由于《夢幻誅仙手游》核心玩法包括回合制的PVP與多人PVE,戰(zhàn)斗實時性要求很弱,客戶端的每次操作均有協(xié)議上報,屬于服務(wù)器強校驗游戲。因此,手游測試團隊確定了協(xié)議安全的測試方法為主,函數(shù)修改與內(nèi)存修改測試方法為輔的策略。

以《夢幻誅仙手游》某個版本為例,手游測試團隊根據(jù)迭代新增內(nèi)容,聚焦了以下測試重點:

1、經(jīng)濟系統(tǒng):商會、商城、擺攤、交易行、背包出售。

2、戰(zhàn)斗力相關(guān):角色屬性,技能、裝備、法寶、羽翼、寵物、仙侶等。

3、進行0、負值,數(shù)據(jù)溢出攻擊,并發(fā)等漏洞挖掘方式。

三問:在《夢幻誅仙手游》的安全測試中,WeTest手游團隊遇到的最大難題是什么?

答:在團隊服務(wù)《夢幻誅仙手游》的過程里,如何在短時間內(nèi)全面地完成全量內(nèi)容的安全漏洞挖掘是當時面臨的最大挑戰(zhàn)。

由于《夢幻誅仙手游》屬于重度MMORPG游戲,游戲功能系統(tǒng)包含戰(zhàn)力成長相關(guān)系統(tǒng)、交易系統(tǒng)、寵物系統(tǒng)、門派、上古戰(zhàn)場、世界BOSS、跨服戰(zhàn)、家園系統(tǒng),各種類型副本以及運營活動等超過50個功能系統(tǒng),短時間完成全量檢測難度極大。

而WeTest手游安全測試團隊采取的是全量自動化分析檢測結(jié)合風險性優(yōu)先級評估深度分析的方式解決這一難題:一方面利用智能自動化檢測鎖定系統(tǒng)、盜刷、拒絕服務(wù)攻擊等漏洞,另一方面則對高風險高優(yōu)先級的功能系統(tǒng)如戰(zhàn)斗系統(tǒng)、成長系統(tǒng)、交易系統(tǒng)等采取專項分析和漏洞挖掘,同時完成了對游戲核心功能深度檢測和整體系統(tǒng)的全方位檢測。

四問:測試團隊最終發(fā)現(xiàn)了《夢幻誅仙手游》哪些嚴重BUG?

答:在根據(jù)測試前分析確定測試重點后,我們利用安全測試工具對《夢幻誅仙手游》的風險項目進行了逐一驗證,發(fā)現(xiàn)了兩類致命級漏洞,而這兩類漏洞均在測試階段發(fā)現(xiàn),并在版本發(fā)布前已全部修復(fù),在此僅作為案例分享。

致命安全風險一:角色屬性系統(tǒng)

檢測結(jié)果顯示,《夢幻誅仙手游》角色屬性加點對各個正常邏輯字段均有校驗,唯獨對加點數(shù)值未做負值判斷和溢出處理,導(dǎo)致可以通過發(fā)送負值獲得超大正值結(jié)果,從而獲取更多點數(shù)分配到主要屬性,嚴重破壞游戲玩法。

降低其他成長屬性從而增強主要成長屬性

物攻職業(yè)削減法術(shù)屬性以增強其他戰(zhàn)斗屬性

致命安全風險二:寵物系統(tǒng)

前期測試中,《夢幻誅仙手游》的寵物系統(tǒng)也出現(xiàn)了與同樣的問題——對加點數(shù)值未做負值判斷和溢出處理,導(dǎo)致修改次要屬性為負值可以獲取更多點數(shù)分配到主要屬性。

寵物加點協(xié)議發(fā)送一鍵異常值后導(dǎo)致寵物戰(zhàn)力猛增,寵物直接戰(zhàn)斗無敵。通過錄制寵物加點協(xié)議,然后修改value字段的值為 2147483647,導(dǎo)致寵物戰(zhàn)力值異常增大,嚴重影響游戲平衡。

通過修改數(shù)值導(dǎo)致寵物戰(zhàn)斗力異常增大

五問:WeTest手游安全測試如何處理這些漏洞?

答:對于盜刷類漏洞,我們建議游戲開發(fā)團隊在研發(fā)初期要規(guī)范游戲通信協(xié)議定義,對協(xié)議結(jié)構(gòu)中字段數(shù)和字段類型進行安全性檢查。在面對服務(wù)器,理購買、結(jié)算等物品發(fā)放請求時,需要加強對請求中各項信息合法性校驗,另外運營側(cè)可以接入運營經(jīng)分系統(tǒng),對各種道具和金錢的產(chǎn)出進行實時監(jiān)控與告警。

而對于宕機類漏洞修復(fù)起來比較簡單,在因程序健壯性導(dǎo)致的服務(wù)器宕機漏洞被檢測出之后,針對性做好異常值處理就能夠修復(fù)。

六問:《夢幻誅仙手游》進行安全測試的最終結(jié)果是怎樣的?

答:在《夢幻誅仙手游》項目測試階段,手游安全測試團隊累計挖掘出了20個致命級漏洞,19個高危級漏洞,28個中危級漏洞,將游戲中潛在的盜號、物品盜刷、偽造身份、服務(wù)器宕機等各類致命級、高危級漏洞提前揭露出來,提前制定修復(fù)方案進行修復(fù),并評估和驗收結(jié)果與風險,為《夢幻誅仙手游》上線半年來穩(wěn)定運行提供了堅實的技術(shù)保障。

關(guān)于騰訊云手游安全測試

騰訊云手游安全測試(Security Radar),是由騰訊游戲WeTest團隊開放的獨家手游安全漏洞挖掘技術(shù),能夠有效杜絕游戲外掛損失。產(chǎn)品為企業(yè)提供私密安全測試服務(wù),通過主動挖掘游戲業(yè)務(wù)安全漏洞(諸如鉆石盜刷、服務(wù)器宕機、無敵秒殺等40多種漏洞),提前暴露游戲潛在安全風險,提供解決方案及時修復(fù),最大程度降低事后外掛危害與外掛打擊成本。

騰訊云上的WeTest測試服務(wù)目前包括手游安全測試、手游兼容性測試、專家兼容性測試和遠程調(diào)試服務(wù)。其中,手游安全測試服務(wù)已為部落沖突、保衛(wèi)蘿卜3、皇室戰(zhàn)爭、王者榮耀、夢幻誅仙等著名手游IP提供了可靠保障。

分享到

zhangnn

相關(guān)推薦