一直觉得能在某个游戏里挖漏洞刷东西是个神奇的事(初衷是为了真正的游戏安全,而不是搞破坏)
但游戏安全之路该如何入坑?如何学习?
求大佬指点
推荐个好玩的游戏漏洞挖掘论坛:虫虫联盟 ~里面学习的资料还挺多的,可以作为一个兴趣,深入的话感觉有点不值。
你这个 id。。。
游戏安全门槛比 web 和 wins32 门槛高啊
我们目前公司用接口测试做了协议安全(对发包参数进行修改,属于无效等价类)的。
怎么描述协议安全呢,客户端会拦截一些手动操作的限制,但是发网络包是无法拦截的,如果网络包传输异常边界,比如购买商品是-1,有 3 个商店下标是 2,选择不存在的商店 3 购买。来验证服务器收到网络包后,是否会这些不合理参数做出表达式判断的验证,这个时候发送异常有正常返回则是错误的,最好的是 return。
细一点是会验证如果抛出错误,错误日志是需要触发多少次,是否每个账号触发 n 次,还是每条都触发,还是每个逻辑 work 触发 n 次,还是时间点段。
因为协议被破解了,外挂者可以任意玩,所以除了协议安全 - 接口测试外,可以在后端做线上是否易抓包分析 wireshark(这个比较废人力,大部分不可复用,靠手动调式居多。)
人力不够做接口测试 - 无效等级类 - 异常参数也就是协议安全,人力有在做线上抓包分析,wireshark。
当然还有其他追加的测试方案,收益投入都是先有上面二个才会考虑,客户端和线上数据监控方案
