Skip to content

游戏安全漏洞挖掘

1 产品定位

为保障游戏业务安全稳定运行,需对游戏安全漏洞进行深度挖掘与分析。通过该过程,提前识别并暴露游戏在设计、开发环节中潜藏的安全风险点,同步输出包含技术原理、修复步骤及验证方法的安全漏洞修复方案。最大程度削减外挂攻击对游戏生态的破坏,并显著降低外挂检测、处置及后续追溯所产生的综合打击成本。

2 核心能力

  • 测试方案

    • 灰盒测试:支持接入安全测试工具,从安全测试者的角度分析游戏实现,挖掘潜在的安全漏洞
    • 黑盒测试:仅提供待测游戏客户端并保证测试环境稳定即可完成测试
  • 框架覆盖面

    • 支持小游戏、Unity3D、Cocos2D、UE4等主流游戏框架引擎,亦能覆盖无框架游戏产品
  • 测试类型

    • 基础覆盖性测试:全面覆盖游戏基础功能
    • 增量测试:针对游戏版本更新后对新增功能进行安全测试
    • 回归测试:对已测出游戏安全漏洞进行复测,并确保修复漏洞后不延生出新的安全漏洞
    • 专项测试:针对登录、充值、活动、核心战斗等关键业务进行专项测试
  • 测试方法

    内存修改、动态调试、静态注入、动态注入、文件替换、拦截协议、伪造协议等

  • 标准化交付载体

    • 产品安全对抗性测试报告:包括当前产品整体风险评级、本轮测试覆盖的用例、发现的安全问题清单和详情等
  • 提供发现安全漏洞的复现方式和成因分析等关键信息

    • 如何复现线上安全问题,包括详细步骤或截图、视频材料
    • 分析和定位漏洞产生原因
    • 提出漏洞的修复方案建议

3 特性&优势

  • 丰富的产品安全漏洞挖掘经验

    • 产品漏洞挖掘能力稳定输出8年,历史发现标准以上产品安全漏洞150+,致命级别安全漏洞15+
  • 针对不同题材游戏积累了大量针对性测试用例

    射击、卡牌、棋牌、MMO、休闲、体育竞技、SLG等

  • 自研游戏协议测试平台

    在接入工具后,用户可在网页端自行发送任意畸形数据包挖掘安全漏洞

4 游戏漏洞典型案例

  • 对某SLG游戏做漏洞挖掘可无限盗刷宝石道具

  • 对某棋牌游戏做漏洞挖掘可无限盗刷记牌器等付费道具

5 竞品分析

功能自研WeTest
纯黑盒渗透测试
工具接入黑盒灰盒
Unity3D引擎
Cocos2D引擎
UE4引擎
小游戏
通信协议
客户端函数安全
脚本逻辑
内存安全
静态资源安全
服务器宕机