1-手游服务端安全测试工具探密-许学松-0710.pdf

1、手游服务端安全测试工具探密游族网络-乌贼王(许学松)游族网络目目录录CONTENTS1 聊一聊手游协议安全2 拍破脑袋做易用工具3 吹水工具优势和价值4 瞄眼瞅一瞅后续规划游族网络1 聊一聊手游协议安全游族网络1.1.1 1、什么是游戏协议安全测试？、什么是游戏协议安全测试？游戏协议安全主要指的是确保游戏客户端和服务器之间通信的安全性，防止数据被篡改或滥用，从而保障游戏的公平性和稳定性。是针对服务器通信协议进行的测试，对常规黑盒测试的一种补充测试。常规游戏功能测试（黑盒），无法突破客户端限制，对协议字段进行篡改，导致一些问题无法覆盖，游戏漏洞的出现会使其上线后会产生严重的后果；游族网络1.21

2、.2、常见的协议安全案列分析、常见的协议安全案列分析游族网络1.21.2、常见的协议安全案列分析、常见的协议安全案列分析游族网络1.21.2、常见的游戏安全案列分析、常见的游戏安全案列分析游族网络1.21.2、常见的游戏安全案列分析、常见的游戏安全案列分析游族网络1.21.2、常见的游戏安全案列分析、常见的游戏安全案列分析游族网络1.31.3、协议安全事故产生的影响、协议安全事故产生的影响030301010303利用漏洞获利，黑产工作室倒卖，外挂作弊，白嫖经济损失经济损失线上出现的任何问题，三方都会特别关爱测试，是不是没覆盖到，技术能力差QAQA专业度受质疑专业度受质疑游戏生态打破，影响玩家的

3、公平竞技，导致玩家流失生态平衡生态平衡游族网络1.41.4、产生游戏协议安全的根因、产生游戏协议安全的根因服务端强校验机制缺失服务端强校验机制缺失过过于于信信任任客客户户端端边边界界异异常常未未处处理理未未上上线线功功能能未未注注释释无无容容错错机机制制服服务务端端逻逻辑辑不不严严谨谨游族网络02 拍破脑袋做易用工具游族网络2.1、协议安全测试的噩梦UntiyUntiy工程启动工程启动1 1个小时过去了个小时过去了今天要干掉今天要干掉3030个协议测试个协议测试少了个参数少了个参数数组类型不支持数组类型不支持仓库更新仓库更新用了用了1.51.5个小时个小时最新最新protoproto文文件忘记

4、提件忘记提交了交了游族网络2.2、能动手的事情，不要动嘴0101”02”降低前置时间降低前置时间忙活半天，发现还没准备好测试环境；测试日报，今天验证游戏版本不一致，测试未开始提高测试效率提高测试效率这点协议测试都没测试完，我早开发完了测试没有测试完。，好；项目计划因测试延期0303”提供便捷工具提供便捷工具就不能搞个好用点的测试工具吗，这群测试开发。游族网络1.31.3、它在游戏测试中的现状、它在游戏测试中的现状测试周期紧测试周期紧测试难度大测试难度大测试频次低测试频次低测试耗时长测试耗时长游族网络2.3、能拿来的东西，别造轮子游族网络03 吹水工具优势和价值游族网络3.1、篡改游戏协议突破客

5、户端限制游族网络3.2、篡改游戏协议实现加速获取奖励游族网络3.3、协议工具概貌-客户端游族网络3.4、协议工具概貌-WEB端游族网络3.4、协议工具概貌-WEB端游族网络3.5、协议工具原理客户端客户端(反编译反编译)Cocos 未加密的 lua 文件 Unity mono 方式的打包apk文件SmailSmail文件文件获取PB数据，进程通信发送到Shark中(SDK)ProtoProto文件文件 Cocos 未加密的 lua 文件 Unity mono 方式的打包apk文件游族网络3.6、协议工具核心实现游族网络3.7、协议涉及方法和测试要点游族网络3.8、现在工具解决的问题快速启动快速启动分钟级分钟级测试时长测试时长缩短缩短7 70%0%测试简单测试简单0 0门槛门槛游族网络04 瞄眼瞅一瞅后续规划游族网络4.1、丧心病狂的产品又来整活了游族网络4.2、工具产品讲究的就是持续迭代游族网络4.3、AI出来了，我们这样整活怎么样？游族网络4.3、AI挺厉害，你们说有没有这样一种可能？游族网络4.4、基于工具的不断探索