據(jù)悉,在《夢(mèng)幻誅仙手游》正式上線前,就與騰訊WeTest手游安全測(cè)試團(tuán)隊(duì)合作���,對(duì)自身游戲的安全性進(jìn)行了系統(tǒng)檢測(cè),在技術(shù)上保證了手游上線后的良好游戲體驗(yàn),最大程度完成了原有IP粉絲的轉(zhuǎn)化積累�����。騰訊WeTest從2011年初就開(kāi)始對(duì)手游安全測(cè)試進(jìn)行探索和技術(shù)積累�����,該測(cè)試已經(jīng)逐漸成為騰訊在研和運(yùn)營(yíng)手游項(xiàng)目上線前的必經(jīng)環(huán)節(jié)�。目前����,騰訊WeTest手游安全測(cè)試服務(wù)已經(jīng)通過(guò)騰訊云全面開(kāi)放,服務(wù)廣大的游戲項(xiàng)目�。
騰訊云上的WeTest到底是怎樣保障游戲的安全質(zhì)量?我們向騰訊WeTest團(tuán)隊(duì)成員進(jìn)行了詳細(xì)訪談�����,希望從火熱游戲《夢(mèng)幻誅仙手游》的案例中����,挖掘出更多內(nèi)容���。
一問(wèn):WeTest測(cè)試服務(wù)是如何針對(duì)手游進(jìn)行測(cè)試的?
答:WeTest手游安全測(cè)試團(tuán)隊(duì)基于對(duì)騰訊游戲多年的測(cè)試經(jīng)驗(yàn)�����,歸納出手游安全漏洞主要出現(xiàn)在客戶(hù)端�、游戲邏輯和服務(wù)器三個(gè)層面,因此WeTest測(cè)試服務(wù)會(huì)從三個(gè)層面出發(fā)�����,根據(jù)不同手游玩法制定對(duì)應(yīng)的策略以達(dá)到整體與側(cè)重兼顧的檢測(cè)效果��。
其中�����,客戶(hù)端層面的檢查項(xiàng)主要有游戲數(shù)據(jù)加密�、游戲協(xié)議保護(hù)���、變速判定��、敏感日志四類(lèi)監(jiān)測(cè)內(nèi)容��;游戲邏輯安全層面的檢查則包含了系統(tǒng)架構(gòu)�����、盜刷漏洞和外掛漏洞三類(lèi)直接關(guān)乎游戲平衡和盈利根本的內(nèi)容�����;服務(wù)器安全層面則對(duì)服務(wù)器宕機(jī)漏洞進(jìn)行專(zhuān)項(xiàng)檢測(cè)����,為游戲樹(shù)立阻擋惡意攻擊的高墻。
二問(wèn):WeTest手游安全測(cè)試團(tuán)隊(duì)對(duì)《夢(mèng)幻誅仙手游》進(jìn)行了哪些重點(diǎn)測(cè)試�?
答:考慮到不同手游玩法檢測(cè)需要使用不同的技術(shù)實(shí)現(xiàn),因此在《夢(mèng)幻誅仙手游》安全測(cè)試之初����,團(tuán)隊(duì)對(duì)游戲進(jìn)行了詳細(xì)的分析與拆解,并制定了有針對(duì)性的測(cè)試策略���。
由于《夢(mèng)幻誅仙手游》核心玩法包括回合制的PVP與多人PVE�����,戰(zhàn)斗實(shí)時(shí)性要求很弱�����,客戶(hù)端的每次操作均有協(xié)議上報(bào)��,屬于服務(wù)器強(qiáng)校驗(yàn)游戲��。因此���,手游測(cè)試團(tuán)隊(duì)確定了協(xié)議安全的測(cè)試方法為主���,函數(shù)修改與內(nèi)存修改測(cè)試方法為輔的策略。
以《夢(mèng)幻誅仙手游》某個(gè)版本為例����,手游測(cè)試團(tuán)隊(duì)根據(jù)迭代新增內(nèi)容,聚焦了以下測(cè)試重點(diǎn):
1�、經(jīng)濟(jì)系統(tǒng):商會(huì)、商城����、擺攤�����、交易行、背包出售��。
2��、戰(zhàn)斗力相關(guān):角色屬性�����,技能�、裝備、法寶��、羽翼����、寵物、仙侶等����。
3、進(jìn)行0��、負(fù)值,數(shù)據(jù)溢出攻擊���,并發(fā)等漏洞挖掘方式����。
三問(wèn):在《夢(mèng)幻誅仙手游》的安全測(cè)試中�����,WeTest手游團(tuán)隊(duì)遇到的最大難題是什么�?
答:在團(tuán)隊(duì)服務(wù)《夢(mèng)幻誅仙手游》的過(guò)程里,如何在短時(shí)間內(nèi)全面地完成全量?jī)?nèi)容的安全漏洞挖掘是當(dāng)時(shí)面臨的最大挑戰(zhàn)����。
由于《夢(mèng)幻誅仙手游》屬于重度MMORPG游戲,游戲功能系統(tǒng)包含戰(zhàn)力成長(zhǎng)相關(guān)系統(tǒng)�����、交易系統(tǒng)����、寵物系統(tǒng)、門(mén)派�、上古戰(zhàn)場(chǎng)�����、世界BOSS����、跨服戰(zhàn)��、家園系統(tǒng)��,各種類(lèi)型副本以及運(yùn)營(yíng)活動(dòng)等超過(guò)50個(gè)功能系統(tǒng)�,短時(shí)間完成全量檢測(cè)難度極大����。
而WeTest手游安全測(cè)試團(tuán)隊(duì)采取的是全量自動(dòng)化分析檢測(cè)結(jié)合風(fēng)險(xiǎn)性?xún)?yōu)先級(jí)評(píng)估深度分析的方式解決這一難題:一方面利用智能自動(dòng)化檢測(cè)鎖定系統(tǒng)、盜刷�����、拒絕服務(wù)攻擊等漏洞����,另一方面則對(duì)高風(fēng)險(xiǎn)高優(yōu)先級(jí)的功能系統(tǒng)如戰(zhàn)斗系統(tǒng)、成長(zhǎng)系統(tǒng)��、交易系統(tǒng)等采取專(zhuān)項(xiàng)分析和漏洞挖掘,同時(shí)完成了對(duì)游戲核心功能深度檢測(cè)和整體系統(tǒng)的全方位檢測(cè)���。
四問(wèn):測(cè)試團(tuán)隊(duì)最終發(fā)現(xiàn)了《夢(mèng)幻誅仙手游》哪些嚴(yán)重BUG���?
答:在根據(jù)測(cè)試前分析確定測(cè)試重點(diǎn)后,我們利用安全測(cè)試工具對(duì)《夢(mèng)幻誅仙手游》的風(fēng)險(xiǎn)項(xiàng)目進(jìn)行了逐一驗(yàn)證�,發(fā)現(xiàn)了兩類(lèi)致命級(jí)漏洞,而這兩類(lèi)漏洞均在測(cè)試階段發(fā)現(xiàn)�,并在版本發(fā)布前已全部修復(fù),在此僅作為案例分享�。
致命安全風(fēng)險(xiǎn)一:角色屬性系統(tǒng)
檢測(cè)結(jié)果顯示,《夢(mèng)幻誅仙手游》角色屬性加點(diǎn)對(duì)各個(gè)正常邏輯字段均有校驗(yàn)���,唯獨(dú)對(duì)加點(diǎn)數(shù)值未做負(fù)值判斷和溢出處理���,導(dǎo)致可以通過(guò)發(fā)送負(fù)值獲得超大正值結(jié)果,從而獲取更多點(diǎn)數(shù)分配到主要屬性�����,嚴(yán)重破壞游戲玩法���。
降低其他成長(zhǎng)屬性從而增強(qiáng)主要成長(zhǎng)屬性
物攻職業(yè)削減法術(shù)屬性以增強(qiáng)其他戰(zhàn)斗屬性
致命安全風(fēng)險(xiǎn)二:寵物系統(tǒng)
前期測(cè)試中�����,《夢(mèng)幻誅仙手游》的寵物系統(tǒng)也出現(xiàn)了與一同樣的問(wèn)題——對(duì)加點(diǎn)數(shù)值未做負(fù)值判斷和溢出處理�����,導(dǎo)致修改次要屬性為負(fù)值可以獲取更多點(diǎn)數(shù)分配到主要屬性��。
寵物加點(diǎn)協(xié)議發(fā)送一鍵異常值后導(dǎo)致寵物戰(zhàn)力猛增��,寵物直接戰(zhàn)斗無(wú)敵���。通過(guò)錄制寵物加點(diǎn)協(xié)議,然后修改value字段的值為 2147483647����,導(dǎo)致寵物戰(zhàn)力值異常增大,嚴(yán)重影響游戲平衡�����。
通過(guò)修改數(shù)值導(dǎo)致寵物戰(zhàn)斗力異常增大
五問(wèn):WeTest手游安全測(cè)試如何處理這些漏洞���?
答:對(duì)于盜刷類(lèi)漏洞�����,我們建議游戲開(kāi)發(fā)團(tuán)隊(duì)在研發(fā)初期要規(guī)范游戲通信協(xié)議定義���,對(duì)協(xié)議結(jié)構(gòu)中字段數(shù)和字段類(lèi)型進(jìn)行安全性檢查�����。在面對(duì)服務(wù)器�,理購(gòu)買(mǎi)��、結(jié)算等物品發(fā)放請(qǐng)求時(shí)�����,需要加強(qiáng)對(duì)請(qǐng)求中各項(xiàng)信息合法性校驗(yàn)����,另外運(yùn)營(yíng)側(cè)可以接入運(yùn)營(yíng)經(jīng)分系統(tǒng),對(duì)各種道具和金錢(qián)的產(chǎn)出進(jìn)行實(shí)時(shí)監(jiān)控與告警�。
而對(duì)于宕機(jī)類(lèi)漏洞修復(fù)起來(lái)比較簡(jiǎn)單,在因程序健壯性導(dǎo)致的服務(wù)器宕機(jī)漏洞被檢測(cè)出之后��,針對(duì)性做好異常值處理就能夠修復(fù)�。
六問(wèn):《夢(mèng)幻誅仙手游》進(jìn)行安全測(cè)試的最終結(jié)果是怎樣的���?
答:在《夢(mèng)幻誅仙手游》項(xiàng)目測(cè)試階段,手游安全測(cè)試團(tuán)隊(duì)累計(jì)挖掘出了20個(gè)致命級(jí)漏洞�,19個(gè)高危級(jí)漏洞,28個(gè)中危級(jí)漏洞�����,將游戲中潛在的盜號(hào)�����、物品盜刷���、偽造身份、服務(wù)器宕機(jī)等各類(lèi)致命級(jí)��、高危級(jí)漏洞提前揭露出來(lái)���,提前制定修復(fù)方案進(jìn)行修復(fù)���,并評(píng)估和驗(yàn)收結(jié)果與風(fēng)險(xiǎn),為《夢(mèng)幻誅仙手游》上線半年來(lái)穩(wěn)定運(yùn)行提供了堅(jiān)實(shí)的技術(shù)保障��。
關(guān)于騰訊云手游安全測(cè)試
騰訊云手游安全測(cè)試(Security Radar),是由騰訊游戲WeTest團(tuán)隊(duì)開(kāi)放的獨(dú)家手游安全漏洞挖掘技術(shù)�,能夠有效杜絕游戲外掛損失。產(chǎn)品為企業(yè)提供私密安全測(cè)試服務(wù)����,通過(guò)主動(dòng)挖掘游戲業(yè)務(wù)安全漏洞(諸如鉆石盜刷、服務(wù)器宕機(jī)�、無(wú)敵秒殺等40多種漏洞),提前暴露游戲潛在安全風(fēng)險(xiǎn)���,提供解決方案及時(shí)修復(fù)����,最大程度降低事后外掛危害與外掛打擊成本���。
騰訊云上的WeTest測(cè)試服務(wù)目前包括手游安全測(cè)試����、手游兼容性測(cè)試��、專(zhuān)家兼容性測(cè)試和遠(yuǎn)程調(diào)試服務(wù)����。其中���,手游安全測(cè)試服務(wù)已為部落沖突、保衛(wèi)蘿卜3����、皇室戰(zhàn)爭(zhēng)、王者榮耀�、夢(mèng)幻誅仙等著名手游IP提供了可靠保障。
