【外挂对抗总结】小游戏H5小程序网页游戏分析

最新推荐文章于 2024-05-24 13:11:22 发布
最新推荐文章于 2024-05-24 13:11:22 发布
阅读量1.7k 收藏 2
点赞数
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Zdelta/article/details/117389128
版权
本文针对网页小游戏,尤其是微信小程序的安全问题进行了分析,指出源代码未混淆、服务端校验不足等问题导致外挂横行。提出了客户端代码混淆、关键字符串加密、服务端严格校验、加强校验算法、延迟校验及账号冻结等解决方案,以增强游戏的安全性,抵御代打、脱机外挂等威胁。
摘要由CSDN通过智能技术生成

目录

前言

问题

源代码未混淆,注释、加密密钥泄露

服务端未校验,参数绕过,比如 跳关

服务端信息泄露,比如 直接返回关卡答案

重放攻击,比如 奖励重复领取

异地登录,比如代打、盗号

弱算法,以下为某款脱机外挂:

方案

客户端代码混淆

客户端关键字符串加密

服务端严格校验

服务端加强校验算法

延迟校验

账号冻结、黑名单

总结

前言

有些游戏刚上线一小时,外挂就满天飞了,各种代打秒通关....

这些代打商家怎么做到的呢?

问题

玩过很多网页小游戏了,以微信小程序小游戏为例,本质上还是web网页,可以在PC端调试,或者下载源代码审计,主要存在的安全问题:

  • 源代码未混淆,注释、加密密钥泄露

  • 服务端未校验,参数绕过,比如 跳关

  • 服务端信息泄露,比如 直接返回关卡答案

  • 重放攻击,比如 奖励重复领取

  • 异地登录,比如代打、盗号

  • 弱算法,以下为某款脱机外挂:

方案

客户端代码混淆

现在很多游戏直接引用 cryto js 加密库,根据该加密库特征很容易找到请求算法关键点,应尽可能引入需要的函数,在混淆时一起混淆

客户端关键字符串加密

域名url,AES key等关键字符串应在源代码层面加密,使用时动态解密,防止直接通过抓包定位关键点

服务端严格校验

  • 服务端返回值尽可能返回少的信息,防范严重的信息泄露;
  • 服务端、数据库二次校验,防范重复领取奖励等漏洞;

服务端加强校验算法

服务端应尽可能校验客户端参数以防范脱机外挂,比如校验屏幕点击位置、时间,而不只是校验客户端运行环境

延迟校验

及时的反馈信息使黑产团队轻易发现算法薄弱、校验点,可以使用延迟校验的方式提升黑产攻击成本

账号冻结、黑名单

代打、黑产一般会有大量账号在同一地区、同一IP、甚至同一设备登录的情况,采用异地、异设备登录二次校验的方式减少盗号风险;

账号冻结、IP封禁、设备封禁、大数据分析等常用反黑灰产措施也不能少;

 

总结

攻防互相学习、升级,上线前严格的安全测试必不可少!

Zdelta
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用顽灯浏览器执行H5游戏辅助挂机
diluanbing4779的博客
12-04 2188
  前一篇《使用Fidder从安卓模拟器获取APP内H5游戏网址》我们获取到了APP内H5游戏的网址,那么接下来我们使用辅助工具做一些日常任务,如:每天晚上20点做副本,定时喊话,自动清理包裹等。 工具准备   顽灯浏览器是一款能自动化完成人工模拟操作的浏览器,可替代人为做一些规律性定时性操作。可模拟鼠标键盘动作的软件。通过录制脚本进行回放,可以设置定时任务到时间自动执行代替双手,自...
京东H5小游戏《疯狂足球》Android外挂实现
小小程序猿
06-13 1847
前言 首先声明,此文仅用于技术交流,若用于牟利,后果自负!由于这个小游戏高分者可获得实体奖励,通过外挂作弊取得高分获取奖励实属诈骗,相信游戏团队也有辨别作弊的实力,请大家不要拿自己的信用作赌注,三思后行! 正文 最近,相信大家也被《疯狂足球》这个小游戏刷屏了,得分前三名送手机啊,再便宜也要上千块一部吧。我也玩了几天,得分最高只能取得280分,再也上不去了。看来我还是不适合玩游戏,我还...
H5游戏(二)给某html5游戏做内挂
闷骚小贱男
11-21 4865
本帖仅是作为一个参考,其他的H5游戏处理方法可能会不太一样,举一反三。直接浏览器控制台执行代码,当然也可以,但是贴中的这个方法是可以3端操作且不依赖控制台。H5的最后一章,收工,睡觉。
fps射击游戏对抗外挂技术
最新发布
听老罗娓娓道来
05-24 847
为了对抗外挂和作弊行为,FPS射击游戏的服务器通常会在位置和移动校验、射击和命中校验、资源和状态校验、反作弊算法和机器学习、数据完整性校验以及服务器端逻辑校验等多个方面进行校验。通过这些措施,可以有效提高游戏的公平性和完整性,提供更好的玩家体验。在射击游戏中,服务器需要校验多个参数来确保开火射击行为的合法性和公平性。这些参数包括射击频率、弹药数量、射击方向和目标、射击位置和移动、武器状态、射击动画和动作以及网络延迟和同步等。通过这些校验,可以有效防止作弊行为,确保游戏的公平性和完整性。
Html5 学习系列(一) 认识HTML5
weixin_30802273的博客
06-24 168
引言,认识两个标准制定的组织 在讲什么是Html5之前得先了解两个组织;WHATWG :网页超文本技术工作小组(英语:Web Hypertext Application Technology Working Group,缩写为WHATWG),是一个以推动网络 HTML 5 标准为目的而成立的组织。在2004年,由Opera、Mozilla基金会和苹果这些浏览器厂商和一些相关团体形成的一个松散的、...
html5游戏挂机,10款能挂机自动战斗的手机网游
weixin_32139875的博客
06-04 661
9、传世挂机《传世挂机》是为玩家潜心打造的放置类热血RPG,精品的传世题材,经典的战法道三职业、传统的MMO成长线、正统的传世视觉体系,高度还原了《传奇世界》。行会集结、热血攻沙、杀人爆物、元神养成,再现热血PK世界;尸霸、禁地魔王、通天教主、铁血魔王等BOSS集结,再续传世打宝情;在这里,中州勇士们可唤上小伙伴们一起再次战沙城、刷桃园、闯炼狱,一起重走传世路,重温传世情。10、武林群侠传《武林群...
H5微信小游戏源码-开心消消乐.zip
11-11
【标题】"H5微信小游戏源码-开心消消乐.zip"揭示了...通过深入研究这个源码,开发者不仅可以学习到具体的编程技巧,还能了解到一款小游戏从概念到实现的完整过程,对提升H5游戏开发能力和微信小程序开发经验大有裨益。
H5小游戏源码 跑酷历险记.zip
10-14
H5小游戏是指基于HTML5技术开发的轻量级游戏,通常可以在网页上直接运行,无需安装任何额外的应用程序。这种类型的游戏在移动设备和桌面浏览器上具有广泛的兼容性和便捷性。 源码是程序员用编程语言编写的游戏逻辑...
前端 H5 消消乐小游戏demo(类似于消消乐)
08-06
【标题】"前端 H5 消消乐小游戏demo(类似于消消乐)"涉及的知识点主要涵盖以下几个方面: 1. **HTML5技术**:H5是HTML5的简称,是下一代网页标准,提供了许多新的元素和API,使得开发富媒体和交互性更强的Web应用...
H5微信小游戏源码-熊出没.zip
11-11
8. **学习资源**:对于初学者,这个源码可以作为学习H5游戏开发的实例,通过阅读和分析代码,了解如何利用H5技术和微信小程序接口创建游戏。同时,也可以参考微信官方文档和社区教程,来深入理解和实践小游戏的开发...
H5小游戏源码 BrowserQuest源代码.zip
10-14
BrowserQuest是一款基于HTML5技术开发的小游戏,它展示了H5技术在游戏开发中的应用潜力。源码的分享为开发者提供了一次深入理解H5游戏开发的机会。以下将详细阐述BrowserQuest游戏源码中的核心知识点: 1. HTML5...
简单的网页游戏辅助源码
07-15
简单的网页游戏辅助源码源码噢 适合新手 高手不要下载
H5游戏修改思路--以古龙群侠传修改为例
02-13
Fiddler是一个http协议调试代理工具,它能够记录并检查所有你的电脑和互联网之间的http通讯,支持断点。我们可以通过Fiddler截取游戏给服务器发的包和截取服务器给游戏发的响应包,然后修改数据包的内容;达到修改游戏数据得目的。
h5 游戏源码_推荐10大H5辅助神器 | 便捷、高效、易上手
weixin_39684228的博客
11-27 2710
H5想必各位并不陌生,今天整理出10个冷门却很实用,即开即用的“云端神器”这些基本都是基于HTML5,不过我今天所说H5和我们平常在朋友圈看到的婚礼形式、企业招聘等的推广H5不太一样,那种基本是最傻瓜式的在线制作就可以生成,没有趣味互动性,那今天就为广大的移动设计师推一期H5灵感参考、制作的在线神器,希望帮到大家,说实话是时候发发干货了 一流H5设计参考神器IMDBIMDB这是一个H5制作参考网...
今天开始研究网页游戏外挂的做法!
luo_342815的专栏
05-18 1392
2010年5月18日
H5游戏作弊与防作弊——我如何拿到第一名的天猫精灵
热门推荐
xlzy
12-03 1万+
一次微信公众号游戏的抓包、修改源码(Fillder) 今天走在上班的路上,突然回忆起去年的一件事。那是2019年9月16日的一个晚上,我打开了微信,进入一个微信群,看到一位群友分享了一个页面,说玩游戏可以领话费。于是我遍点进去试玩。游戏的玩法是一个球向上弹,上面落下一些球,你需要通过粘在这里球上作为跳板往上,一个球一分,最后玩了四十多分。(现在那个网站已经关了) 思考(如何不讲武德) 首先,他肯定是要和服务端进行通信的,最终分数由前端还是后端计算的需要分析接口和代码。 然后开始抓包,我之前是用的Wi
网页html5游戏修改器,正版H5游戏无限物品
weixin_29507477的博客
05-31 7246
今天发一个H5游戏的无限物品,本来不想发的我自己有在瞎玩玩。但是独乐乐不如众乐乐说的有点多了下面进入正文准备工具: (WPE) (微信电脑版)花了一个多小时的时间吧小白也能看懂操作步骤:红色太醒目换成黑色的了我的教程只要是按我的步骤做我想小白也是没有压力的游戏名:疯狂店长 (经营类型的游戏吧)1:先用微信关注公众号:火舞游戏(只是举个(栗子)其他很多公众号或者QQ空间小游戏里面也有这个游戏并没有推...
50行代码写的一个插件,破解一个H5小游戏
一个PHPer的成长历程
10-26 8144
小游戏链接:测测你的眼睛对色差的辨识度http://www.webhek.com/post/color-test.html?from=timeline 废话不多说,先放代码: window.onload = function () { console.log("点击开始测试-------"); //点击开始按钮 var play = document.getElementsByCl...
微信html游戏怎么作弊,微信小游戏跳一跳作弊技巧 跳一跳作弊方法介绍
weixin_35686386的博客
06-01 2421
【科技讯】1月18日消息,微信小游戏跳一跳作弊技巧是什么?跳一跳作弊攻略有哪些?在跳一跳游戏中很多得高分的玩家都作弊了,那么跳一跳作弊方法是什么呢?下面小编就给大家介绍下。窍门1:把握好力度,每次跳到方块的中心点,是可以加分的,如果连续跳到中心点,能+2、+4、+6、+8哦,要不然你只能+1、+1、+1……窍门2:跳到上面有个“污”字的沙井盖,停留一会儿,会听到冲水的声音,这时候可+5分。窍门3:...
手机H5小游戏源码合集:220款html+javascript项目下载
这些小游戏源码为学习者提供了丰富的实践材料,涵盖了各种游戏类型,如休闲益智、动作冒险、跑酷等,可以深入理解H5游戏的架构、逻辑和交互设计。 HTML5的Canvas元素是游戏开发的核心,它提供了在网页上绘制图形的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值