游戏客户端安全方案。

已于 2022-06-21 14:18:29 修改
阅读量5.7k 收藏 4
点赞数 5
分类专栏: 游戏安全 安全 C++ 文章标签: 安全 游戏 c++
于 2021-01-04 14:23:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/c_kongfei/article/details/112175891
版权
安全 同时被 3 个专栏收录
71 篇文章 4 订阅
订阅专栏
C++
28 篇文章 2 订阅
订阅专栏
游戏安全
19 篇文章 1 订阅
订阅专栏

1、客户端版本号也能让游戏客户端变得不安全。

2、移动端的游戏通常都会根据客户端版本号决定是否要提示客户端升级或下载新的资源。

 在版本的开发过程中通常都会使用 1.1, 1.3, 1.6 这样的版本号。当连入网络后和最新客户端版本号进行比较,决定是否升级。

进行版本比较的代码,使用了字符串比较。
我们都应该知道对于字符串来说: "1.2" 是大于 "1.1", "2.0" 是大于 "1.9" 。而且支持含有多个小数点的版本号,例如 "1.1.0" 是大于 "1.0.9" 的。
一行代码,看上去很简单不会有什么问题。

在实际项目中突发bug,客户端研发把版本更新到1.10。而对于字符串来说, "1.10" 是小于 "1.9"的。

结果是,所有线上老版本都没有提示和进行更新。而服务端没有向下兼容,老用户完全无法运行。

小结

所以,安全做法是强制要求更新客户端模块必须使用数字(INT)对版本号进行比较。如果是字符串,要先解析成数字 INT 整数形态,再逐个比较。而不能直接使用字符串比较。

小道安全
关注
  • 5
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 9
    评论
专栏目录
客户安全(加固)
十维之眼的博客
09-11 871
上一篇签名说到,签名只是确保应用在传递过程不被篡改,这是一致性原则。但是,可以被剽窃啊,所以还需要一层防护:加密!这就是加固的初衷。 安卓的混淆,某种意义上讲也是一种“加密”,所以在生产包上尽量要启用混淆。但是混淆毕竟不是真正意义的加密(即别人完全无法破解),混淆只是一种乱编码而已,花点时间仍然可以把逻辑破解出来。 那么加密对象是谁?跟签名那样是整个应用包加密吗?当然不能,因为加密后要解密啊,整个应用包都加密了,谁来解密?操作系统吗?操作系统没有你的解密逻辑和密钥,如何解密?这点跟签名不同,签名可以由操
网络安全最全无恒实验室联合GORM推出安全好用的ORM框架-GEN,2024年最新Flutter全方位深入探索
2401_84265571的博客
05-09 257
自定 SQL 的安全性是所有 ORM 最难解决的问题,GEN 使用模板注释的方法完美解决了这个问题,只需要将 SQL 注释到 interface 的方法上。SQL 支持简单的 where 查询和完整 SQL 查询,条件用Where()语法包住。Raw SQL 用sql()包住,也可省略直接写。占位符gen.T用于返回数据的结构体,会根据生成结构体或者数据库表结构自动生成gen.M表示,用于返回数据用于执行 SQL 进行更新或删除时候,用于返回影响行数@@table。
2024年网络安全最全Android安全——客户安全要点(1),快速学会
最新发布
2401_84264010的博客
05-11 591
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。HTTPS的主要思想是在不安全的网络上创建一安全信道,并可在使用适当的加密包和服务器证书可被验证且可被信任时,对窃听和中间人攻击提供合理的防护。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。该特性让应用可以在一个安全的声明性配置文件中灵活的自定义其网络安全设置,而无需修改应用代码,满足更高的安全性要求。
白帽子讲Web安全——客户安全
u011423880的博客
07-27 627
一.跨站脚本攻击(XSS) 1.简介 XSS攻击,通常指黑客通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。 2.类型 XSS根据效果的不同可以分成如下几类。 (1) 反射型XSS 反射型XSS只是简单地把用户输入的数据“反射”给浏览器。也就是说,黑客往往需要诱使用户“点击”一个恶意链接,才能攻击成功。反射型XSS也叫做“非持久型XSS”(Non-persistent XSS)。 (2) 存储型XSS 存储型XSS会把用户输入的数据“存储”在服务器。这种X
客户游戏漏洞看开发中的安全隐患
jlangqi的博客
08-22 1962
本文转自wooyun知识库0x00 前言 虽然现在的应用开发越来越趋向于web应用,大型软件也大量使用了现有的框架,随着现有框架和引擎的完善,绝大多数安全问题已经被解决。但是遇到一些定制需求时,开发人员还是不得不从底层一点点进行设计。这时,没有安全经验的开发人员很容易犯下错误,导致严重的安全隐患。本文以一款自主引擎的大型网络游戏为例,展示开发中容易被忽略的隐患。 Lua作为一种
客户安全(TLS/SSL)
十维之眼的博客
04-26 3218
Android的安全在早期是使用openSSL库,后来(大概6.0之后)则使用boringSSL(从openSSL拉一个分支出来)。openSSL库低版本存在一些安全漏洞,所以安卓低版本也同样会有安全漏洞。APP要修复这些安全漏洞,一方面可以通过升级安卓自带的openSSL库解决,一方面可以通过第三方库解决(即自己的app引入高版本openSSL),调用第三方库的安全接口而非安卓自带的安全接口。 附: https://source.android.com/security/enhancements/
传统移动客户游戏客户安全测试.pdf
08-07
简要分享在过去在安全公司给金融、运营商客户做移动客户安全评估、到现在做游戏客户安全测试的区别、方法及经验(Android为主) 大纲 1 背景 2 传统移动客户测试 3 移动游戏客户测试 4 除了测试还能做什么
游戏服务+模拟游戏客户
02-02
本项目提供的"游戏服务+模拟游戏客户"显然是一套用于测试和开发的游戏框架,其中涉及了C#编程语言以及游戏服务客户的相关技术。下面我们将深入探讨这些知识点。 首先,C#是一种面向对象的编程语言,由...
2021腾讯游戏安全技术初赛pc客户安全.7z
05-28
在这个场景中,"PC客户安全"涉及到保护游戏客户免受各种攻击,如破解、注入、外挂、盗号等,这些是游戏行业中常见的安全挑战。 【描述解析】:“代码”一词表明压缩包中可能包含了实现某些安全功能的源代码,...
游戏技术方案.pdf
08-17
游戏技术方案游戏开发和运营中至关重要的一环,该方案涵盖了游戏开发的三个主要方面:游戏可玩性测试、游戏技术性能测试和安全性测试。本文将对游戏技术方案的三个部分进行详细的解释和分析。 游戏可玩性测试 ...
电信行业信息安全解决方案.pdf
10-13
电信行业信息安全解决方案主要关注的是如何保障电信运营商在日常运营中面临的信息安全问题。随着技术的不断发展,特别是移动通信和宽带网络的普及,3G向LTE演进,以及全业务运营的加速,电信行业在为社会提供便利的...
apk 反编译 改版本号 改游戏名称 改权限 改AndroidManifest 改java代码
01-08
apk 反编译 改版本号 改游戏名称 改包名 改权限 改AndroidManifest 改java代码
手游常见的安全攻击方式—安全运营心得
qq_28248953的博客
08-30 93
手游常见的安全攻击方式—安全运营心得
游戏中服务客户分别承担怎样的计算才即安全又可靠呢?
csdn_chai的博客
09-18 3120
原则一:安全第一,永不信任客户 所有能影响战斗胜负结果的数值及运算,影响成长收益的数值及运算,都必须放到服务保存及运算或者是高频度的验算。 影响战斗胜负结果的: 人物属性 战斗公式 行走速度 施法距离 技能CD等 影响成长收益的: 各种物品掉率 物品强化/合成概率等 原则二:保持流畅的游戏体验 根据游戏对网速的要求,合理调整各种发包及验算的频率。 自动寻路的运算可以放在客户
网络游戏开发之安全对抗
没有开花的树
01-09 5220
游戏才刚上线没多久,就遭遇了众多游戏工作室一波接一波的外挂洗礼。游戏工作室很喜欢新游戏,因为新游戏没有太多对抗外挂的手段和技术,漏洞也较多,而且新游戏会不断烧钱导量,游戏工作室也借机找到了大量的客户。在经历了一番实战,或多或少总结了一些经验和技巧,这里和大家做个分享。文章分别从常见外挂对抗、安全日志对抗、安全预警对抗、策划层面对抗、其他技术对抗探讨网络游戏外挂的对抗措施。
移动客户与服务器安全通信方案
weixin_33758863的博客
06-15 650
2019独角兽企业重金招聘Python工程师标准>>> ...
OT网络安全-OT客户安全防护要采取那些措施
par@ish的博客
02-05 5108
大多数的OT网络都与互联网物理隔离,以降低OT网络被攻击的风险。 但是基于零信任原则,网络威胁无处不在,OT网络仍然面临很大的威胁。接下来我们会给您一些保护OT网络客户安全的建议。 一、采用不需要连接互联网更新特征库的安全防护系统 很多客户安全防护软体,通常都需要连接互联网订阅服务来更新最新版本和特征库。虽然可以采取加密和安全技术来连接,但是仍然存在风险。采用不需要与互联网连接即可更新的方案是最佳的。 二、为客户安装防毒和防恶意软件的防护软体 OT网络中很多客户执行的程式,极易被误判为病毒或者恶意软
客户安全(签名)
十维之眼的博客
09-01 6586
V1-- .Manifest:摘要 .SF: 签名(加签而已,未加密) .RSA:指纹(指纹加密,用私钥加密;文件本身未加密,字节码是因为PKCS7格式化而已) 自签发根证书,直接可用证书里的公钥验签 漏洞: 1、利用非校验范围为非作歹: Jenus类,双dex(加大校验范围,V2) 2、篡改证书二次签名:首次安装无碍,安装后会阻止官方APP安装(方案:连服务器校验证书) 3、渠道包快速生成? V2-- .zip格式 .class/.dex CERT.RSA 签名过程,验证过程?证书指纹 与.
客户脚本安全
否命题的博客
07-21 887
一下案例均来自白帽子讲Web安全-吴翰清 一书中这篇主要是记录下一些内容中的简单概念,其中书中涉及很多实例代码,这边不具体叙述。客户脚本安全XSS攻击XSS:跨站脚本攻击,英文全称为Cross Sie Script 本来缩写是CSS,但是为了和层叠样式CSS做区分,所以在安全领域叫做XSS XSS攻击,通常指用户通过HTML注入篡改了网页,插入恶意的脚本,从而在用户浏览网页的时候,控制用户浏览器
桌面云解决方案.pptx
04-18
桌面云解决方案.pptx

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小道安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值