WeTest 导读

漏洞和外挂一直是危害游戏的罪魁祸首，在游戏行业发展的历程中，不乏一些经典热门的游戏在安全事故中失去江湖地位。不重视游戏安全的结果，不仅让制作人员的心血毁于一旦，更痛失万千玩家的热爱。在如今手游盛行的时代，如何正视手游安全，最大化的减少安全事故的发生概率，请跟随本文一起探索。

梦幻之源—《梦幻模拟战》手游的前世今生

《梦幻模拟战》系列作为经典的日式战棋游戏，自1991年初代作品发布至今在老一辈中国玩家心中有着极高的地位。2018年初紫龙游戏正式推出日式王道幻想大作《梦幻模拟战》的手游版本，延续原作经典的SRPG玩法，开创战棋游戏实时玩家对抗。

自2018年8月上线appstore至今，《梦幻模拟战》手游始终保持在游戏畅销榜前Top20的位置。畅销榜上有很多手游都有潜在的安全问题，排名越是靠前，热度越高，越是会让外挂工作室和黑客趋之若鹜。他们在各种利益的诱导下，对游戏进行技术破解、利用外挂获取收益，让游戏遭遇公平性的丧失，玩家的游戏乐趣遭受破坏，直接导致制作厂商的经济利益遭受损失。

《梦幻模拟战》的发行方紫龙游戏，对此类风险有着非常超前的认知，在产品正式上线前，就与WeTest的手游安全团队进行对接。通过WeTest提供的手游安全测试，主动挖掘游戏业务安全漏洞，用来提前暴露游戏潜在的安全风险，这样不仅能最大程度降低事后外挂的危害，更有效降低外挂的打击成本。

量体裁衣——量身锻造的安全漏洞挖掘方案

- 深度分析 -

手游的使用场景与传统APP有着巨大的差异，不同的游戏玩法， 技术实现都不一样，因此手游安全测试团队需要对每一个游戏，都从零开始研究游戏内部实现架构。

首先，WeTest手游安全团队对游戏的构成做了分解，《梦幻模拟战》的开发游戏引擎为Unity3D，游戏核心逻辑由 C#脚本实现，游戏类型属于SRPG。其中，游戏的核心玩法包括 PVP 和 PVE 战斗、经济系统、英雄系统等。

其次，经过对战斗过程中服务器与客户端间通信协议的分析，安全团队了解到该款游戏的战斗实时性要求非常高，所有的操作都有协议上报。PVE战斗采用的是客户端结算上报，服务器校验的形式。

- 实现方案 -

结合以上特性分析，安全团队最终确定，本次手游安全测试主要采用协议进行漏洞挖掘，使用函数和内存渗透测试的方法进行辅助。针对游戏的当前运营状态，精准的制定了本次安全测试项目目标：对《梦幻模拟战》的经济系统、战斗系统、装备系统、英雄系统、活动任务、社交系统，针对性地挖掘影响面比较大的漏洞，暴露游戏中潜在的安全风险，最大程度降低游戏运营中的外挂影响和打击成本。

最终效果

手游安全团队共发现了3个致命漏洞，1个高危漏洞，4个中危漏洞，并准确定位这些漏洞产生的原因，同时提供了修复漏洞的专业意见。开发商也快速响应并及时修复了问题，一起将隐患消除。《梦幻模拟战》的技术负责人表示：“外挂问题一直是紫龙在做游戏过程中要跨越的雷区，SRPG的游戏玩法和游戏内容都非常多，非常需要专业的安全团队来对游戏进行一个全方位的检测，WeTest手游安全测试为《梦幻模拟战》正式开启不删档，创造安全、公平、健康的游戏环境提供了坚实支撑和保障。”

关于WeTest手游渗透测试

手游渗透测试（Security Radar）为企业提供私密安全测试服务，通过主动挖掘游戏业务安全漏洞（诸如钻石盗刷、无敌秒杀等40多种漏洞），提前暴露游戏潜在安全风险，提供解决方案及时修复，最大程度降低事后外挂危害与外挂打击成本。该服务为腾讯游戏开放的独家手游安全漏洞挖掘技术，杜绝游戏外挂损失。

产品优势

1. 预知风险并修复，提前挖掘漏洞，并提供修复方案，让外挂无机可乘。

2. 专注游戏，支持Unity3D、UE4、Cocos2D等主流引擎的游戏，从游戏通信协议、客户端函数安全、脚本逻辑、内存安全、静态资源安全等多个维度挖掘业务安全漏洞。

3.专家团队，工程师来自腾讯IEG手游漏洞测试团队（SR安全雷达团队），具有极为丰富的实战经验,曾服务过腾讯自研、累积服务产品版本700+，使用行业独创渗透测试方案提供专业级服务。

4. 星级标准，腾讯游戏6星级质量标准，获得与《王者荣耀》、《穿越火线-枪战王者》、《龙之谷》等腾讯顶级手游同等测试服务品质。

5. 方便安全，无需接入SDK，对游戏本身无影响；保证产品高度私密性，不公开任何漏洞细节。

除外，WeTest平台于近期升级了手游安全的解决方案，推出了包括服务器宕机检测、手游加固、反外挂及手游安全扫描等服务。

点击：https://wetest.qq.com/solution/shouyou_protection 即可体验。

如果使用当中有任何疑问，欢迎联系腾讯WeTest企业QQ：2852350015