根据中间人的测试方案可以直接看到漏洞在游戏客户端的显示效果,大大提高了漏洞发现的效率;但是与上一代方案相比,仍然有两个问题没有解决:协议访问时间长,因为协议包解析涉及到粘贴和解包等问题,比较复杂,不仅要解析数据层,还要解析协议层和数据流层。工作量大。

游戏的二次改编耗费大量金钱。在增量测试中,游戏经常根据业务需求和第一轮安全评估的结果修改加密和协议方案。这种方案很可能与当前的接入协议流不一致,因此重新分析协议流非常耗时。所有上述问题都是由协议解析方案的局限性造成的。要想进一步发展,需要从根本上抛弃原有的观念。

根据客户端注入的GameDancer为了解决以往方案的不足,我们准备重新设计测试方案。结合之前的测试经验,重新设计方案的目标是:

1.不在数据流级操作,在协议级操作较少,直接操作可见明文数据内容。

2.测试协议的组件过程应该尽量在加解密之前,因为加解密方案是可变的,很难固定和适配。

3.不用离线运行就可以直接在客户端看到漏洞的显示效果。

4.方便主动发起测试协议,使用非劫持方式向游戏服务器发起测试协议,无需管理游戏本身的包序列号。

5.测试工具在前端显示完全解析的协议格式和数据,并执行测试数据推荐和模糊自动覆盖。

为了实现上述设计目标,我们放弃了原有的协议方案,通过代码注入的方式开发了一种新的游戏安全漏洞挖掘工具——游戏舞者。设计的主要思想是通过hook的游戏逻辑中的协议交互接口获取游戏的交互明文数据。分析数据后,通过主动调用游戏界面,将测试协议通过游戏客户端发送到游戏服务器。简单来说,对于这个测试方案,游戏客户端是一个为我们的工具提供协议解析和协议发送服务的模块,通过游戏本身自动完成这个复杂的工作。

修改服务器劫包,APP游戏TCP包被劫持篡改的一些解决方案相关推荐

  1. 星辰变服务器响应超时,星辰变游戏出现突然安装不了怎么办 解决方案一览

    星辰变游戏出现突然安装不了怎么办 解决方案一览.星辰变是一款非常好玩的游戏,许多玩家被其优秀的内容和有趣的玩法所吸引.但是近日有小伙伴反应安装不了的问题,小编这里整理了一些安装不了的的原因和方法,下面 ...

  2. 游戏史上被迫修改服务器玩家,直接改变游戏的四次更新,为了挽回败局,炸掉整个服务器...

    每当玩家在玩游戏玩太久时总会产生一定的厌烦感,这时候游戏就会引来巨大的改版,增加不少新玩法之类的,例如<英雄联盟>新赛季对装备进行了大幅改动,让不少玩家一开始都有些无所适从,需要慢慢适应. ...

  3. C 修改服务器代码,rpg c 游戏服务器代码大全

    rpg c 游戏服务器代码大全 内容精选 换一换 香港节点和大陆节点的区别如下:香港节点购买域名后无需备案,可以直接在后台绑定域名并使用.大陆节点购买域名后需要先完成备案,才可以在后台绑定域名.香港节 ...

  4. 传奇登录器修改服务器列表,传奇登录器TCP服务器远程列表「防劫持」设置教程...

    [Server] 70=★本地测试登陆器[WWW.DIYGM.COM]★|-----------------------------|威威本地登录器测试[WWW.DIYGM.COM]|192.168. ...

  5. 游戏服务器心跳包的作用

    游戏服务器心跳包的作用 服务端为什么需要心跳(保活)机制 TCP-Keepalive-HOWTO 闲说HeartBeat心跳包和TCP协议的KeepAlive机制 Socket心跳包机制 心跳包的作用 ...

  6. 服务器传递文件丢包怎么回事,TCP传输协议中如何解决丢包问题

    一.回答这个问题之前,要考虑TCP协议为什么会丢包,在什么样的情况下会丢包. 1. TCP协议定义(Transimission Control Protocol)是以一种面向连接的.可靠的.基于字节流 ...

  7. 关于如何修改ISA server 防火墙并行最大TCP连接数问题和优化ISA 服务器淹没缓解设置

    1.缓解淹没攻击和蠕虫传播 说明:指定启用 ISA 服务器淹没缓解设置.肯定要启用,否则下面就没法配置了. 2.每个IP地址每分钟的最大TCP连接请求数 说明:ISA 服务器缓解 IP 地址发送大量 ...

  8. 客户端主动断开连接_Go实现客户端和服务器抓包分析TCP三次握手和断开操作

    本文主要是想通过抓包工具分析一下TCP三次握手和断开过程: 1.TCP三次握手建立连接和断开连接解释,如下图: TCP三次握手建立连接和断开连接 2.通过WireShark抓包查看这个TCP过程,数据 ...

  9. ce能修改服务器数据吗,ce修改游戏服务器数据库

    ce修改游戏服务器数据库 内容精选 换一换 数据安全中心与周边服务的依赖关系如图1所示.对象存储服务(Object Storage Service,简称OBS)是一款稳定.安全.高效.易用的云存储服务 ...

最新文章

  1. React.js 小书 Lesson14 - 实战分析:评论功能(一)
  2. 智能车竞赛技术报告 | 双车接力组 - 大连海事大学 - 同舟拾贰队
  3. python程序保存_初识python 文件读取 保存
  4. 【转】VS2008制作打包程序将安装路径写入注册表
  5. C++设计模式--观察者模式(Observer)
  6. go标准库的学习-net/rpc/jsonrpc
  7. python按行读取文件取消空白行_python去掉空白行的多种实现代码
  8. 浙江省二级计算机vfp,浙江省计算机2级vfp程序调试真题集.doc
  9. php函数(检查变量、函数、键是否存在)
  10. 从上云到云原生,如何用新技术应对突发事件?
  11. 数据 3 分钟 | 阿里云数据库 2020 技术年报发布、TiDB 开启 Hacking Camp、达梦云数据库免费体验...
  12. c防止随机数重复_铝及铝模板等焊接常见缺陷、和防止措施12招
  13. 不会真有人觉得聊天机器人难吧
  14. ASP.NET配置设置-关于web.config各节点的讲解
  15. VueJS 组件参数名命名方式和前台显示
  16. HA模式下的java api访问要点
  17. 12级计算机动画制作专业,计算机专业技术12级是什么意思?
  18. python清空画布_Python3 tkinter基础 Canvas delete 删除画布中的所有图形
  19. 【博客学习之旅】仰望星空,脚踏实地
  20. CDO玩“跨界”,数据驱动有戏了!

热门文章

  1. Rabbit的Windows安装
  2. Java集合LinkedHashMap
  3. Tomcat启动窗口
  4. 发那科冲压直线搬运机器人_行业应用 | 直线七轴软件配置
  5. 「实用」微信扫码 - 关注公众号后网站自动登录
  6. Failed to invoke the method subscribe in the service com.alibaba.dubbo.registry.RegistryService
  7. 轻松读懂数据结构系列:早操排队图解选择排序
  8. anaconda+python3.6利用命令安装BeautifulSoup4-4.6.0
  9. Android PullToRefresh(下拉刷新)的使用详解
  10. TreeSet集合排序方式二:定制排序Comparator