网赢天下深圳网站建设,网站怎么申请微博登录,网站开发时,国家企业信用信息公示系统官网四川任务类风险定义#xff1a;
大部分游戏都离不开任务#xff0c;游戏往往也会借助任务#xff0c;来引导玩家上手#xff0c;了解游戏背景#xff0c;增加游戏玩法#xff0c;提升游戏趣味性。任务就像线索#xff0c;将游戏的各个章节#xff0c;各种玩法#xff0c;…任务类风险定义
大部分游戏都离不开任务游戏往往也会借助任务来引导玩家上手了解游戏背景增加游戏玩法提升游戏趣味性。任务就像线索将游戏的各个章节各种玩法各类玩家结合在一起。游戏离不开任务但是开发者在设计任务时也存在很多疏漏导致任务类风险大量存在。任何修改任务正常执行流程导致玩家可提升任务效率或收益的都可以称为任务类风险。
任务类风险危害
上述定义中提到了任务执行的正常流程我们可以从任务执行环节上先熟悉游戏正常的流程 任务执行前获得任务领取条件领取任务 任务执行时完成任务条件 任务执行后交付任务领取任务奖励
结合上述流程我们先来看几个案例
当你辛辛苦苦完成了一个任务等级要求时你却发现领取任务的NPC离你十万八千里你需要传送跑路赶过来领取一个任务这时漏洞出现了你在任何地点只需要利用下漏洞便可以远程领取任务 当你在执行任务副本时发现需要打好久好久太费时间了这是利用漏洞直接修改任务难度原本10分钟的副本任务现在只需要2分钟即可完成
当你在执行连环任务时需要层层挑战才可以最终完成任务这是你利用漏洞直接从任务的第一关卡跳转到第三关卡大大减少了任务的完成时间 更有甚者连任务根本都不用领取也不用去执行就可以直接完成任务获取对应任务奖励 还有一些任务因为高收益高汇报被游戏限定每日只能刷一次或者具备一定前提条件才可以领取但是却可以利用漏洞实现任务的无限完成和奖励的无限领取。
总结上述案列可将任务类风险按流程和效果做以下划分 从执行效果上看任务类风险的危害简单归纳如下 极大的降低了任务完成时间提高任务完成速度 非法获取或重复获取游戏任务中的大量奖励提升玩家收益影响游戏平衡 极大促进游戏工作室游戏内大量刷任务等非法行为。 任务类风险存在原因
出现任务类风险的根本原因是服务器的校验疏忽只单单对任务最终结果做了校验进而导致了任务的前置条件和执行过程出现了各种被绕过被多次利用的可能。
任务类风险漏洞挖掘方法
结合上述原因分析如何确定服务器的校验过程是任务类风险漏洞挖掘的核心思路而对服务器的验证一般均为黑盒测试常见的方法便是结合猜想去在协议层进行重发屏蔽和修改。先来看看一般的任务类协议格式和交互流程
一般任务请求/完成的协议格式如下 在大多数任务交互过程中协议1协议2协议3协议4是必不可少的其他协议需要根据游戏具体逻辑进行分析确认在验证过程中针对上述协议进行重发屏蔽和修改如果服务器校验不够严谨的话则会触发相应漏洞。
下面举一案列进一步说明验证过程
某游戏在一项挑战赛中有一连环任务玩家在连续完成7次挑战后最终完成任务获得丰富任务奖励。其接受任务时上行协议被工具截获如下
[01 21 00 00 00 00 00 36 04 00 E8 F4 68 21 00 00 f7 50 00 02]
二进制数据被工具切割成如下
[01 21]协议号
[00 00 00 00]未知
[00 36 04 00]服务器ID
[E8 F4 68 21]玩家ID
[00 00 F7 50]任务ID
[00 02 ]任务环节
协议工具截获后确认其环节数字段后可将[00 02]修改为指定关卡重发协议后玩家即可进行第几次关卡挑战如果直接改写为[00 07]进行重发则可直接完成任务。
任务类风险验证需要大胆猜想并结合协议工具进行分析验证结合上述协议总结的协议交互流程可以对任务类风险的挖掘常用方法做出归纳如下图
