Appearance
游戏安全漏洞挖掘
1 产品定位
为保障游戏业务安全稳定运行,需对游戏安全漏洞进行深度挖掘与分析。通过该过程,提前识别并暴露游戏在设计、开发环节中潜藏的安全风险点,同步输出包含技术原理、修复步骤及验证方法的安全漏洞修复方案。最大程度削减外挂攻击对游戏生态的破坏,并显著降低外挂检测、处置及后续追溯所产生的综合打击成本。
2 核心能力
测试方案
- 灰盒测试:支持接入安全测试工具,从安全测试者的角度分析游戏实现,挖掘潜在的安全漏洞
- 黑盒测试:仅提供待测游戏客户端并保证测试环境稳定即可完成测试
框架覆盖面:支持小游戏、Unity3D、Cocos2D、UE4等主流游戏框架引擎
测试类型
- 基础覆盖性测试:全面覆盖游戏基础功能
- 增量测试:针对游戏版本更新后对新增功能进行安全测试
- 回归测试:对已测出游戏安全漏洞进行复测,并确保修复漏洞后不延生出新的安全漏洞
- 专项测试:针对登录、充值、活动、核心战斗等关键业务进行专项测试
测试方法
内存修改、动态调试、静态注入、动态注入、文件替换、拦截协议、伪造协议等
产品线上安全问题的复现和成因分析
复现线上安全问题,分析定位产生问题的原因,提出解决方案建议
3 特性/优势
针对不同题材游戏积累了大量针对性测试用例
射击、卡牌、棋牌、MMO、休闲、体育竞技、SLG等
自研游戏协议测试平台
在接入工具后,用户可在网页端自行发送任意畸形数据包挖掘安全漏洞
4 游戏漏洞典型案例
对某SLG游戏做漏洞挖掘可无限盗刷宝石道具
对某棋牌游戏做漏洞挖掘可无限盗刷记牌器等付费道具
5 竞品分析
| 功能 | 自研 | WeTest |
|---|---|---|
| 纯黑盒渗透测试 | ✔ | ✔ |
| 工具接入 | 黑盒 | 灰盒 |
| Unity3D引擎 | ✔ | ✔ |
| Cocos2D引擎 | ✔ | ✔ |
| UE4引擎 | ✔ | ✔ |
| 小游戏 | ✔ | |
| 通信协议 | ✔ | ✔ |
| 客户端函数安全 | ✔ | |
| 脚本逻辑 | ✔ | ✔ |
| 内存安全 | ✔ | ✔ |
| 静态资源安全 | ✔ | ✔ |
| 服务器宕机 | ✔ |