• 226阅读
  • 2回复

腾讯游戏安全实验发布新版块 [复制链接]

上一主题 下一主题
离线任鸟飞
 

只看楼主 倒序阅读 使用道具 楼主  发表于: 2017-12-21
gslab.qq.com

漏洞一词,在信息安全界并不陌生,2014年Heartbleed(CVE-2014-0160),到2017年WannaCry(CVE-2017-0144),每一次重大影响的安全大事件,总离不开一个漏洞的爆发。那到底什么是漏洞呢?
百度百科上定义到:“漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统”
这个解释现在来看并不全面,泉哥在《漏洞战争》中,对漏洞的本质进一步解释为:
程序世界:由于程序(web,二进制等)存在安全缺陷,导致攻击者恶意构造的数据进入程序相关处理代码时会改变程序原定的执行流程,从而实现破坏或获取超出原有权限的能力
安全策略:由于系统(网站,软件,操作系统等)安全策略设置得不够严谨或者未做设置,导致攻击者能够在未经授权的情况下,获得对目标系统原本不应拥有的访问控制提权
总结起来,这些漏洞都具有以下特性:
1. 产生时机:信息输入,输出
2. 作用范围:程序,策略
3.表现形式:改变原本流程,更改原本逻辑
4. 目的:破坏,提权
现今网络游戏作为大型分布式系统,必然存在漏洞,但我们本篇所描述的游戏漏洞与上述漏洞又有什么区别呢?
游戏漏洞,从字面上理解,他继承于漏洞,漏洞的产生时机,作用范围都和上述相似,但他也是漏洞的一个子类,具有自身单独的特性,比如:通过漏洞获得游戏中的绝版的装备,可能漏洞并没有尝试服务器入侵提权,更改DB,也许只是简单的利用了一条协议的重发;通过漏洞控制敌对玩家,可能这个漏洞也没有涉及客户端入侵,也许只是在本地更改了一个玩家ID……
上述漏洞似乎都没有对攻击者进行破坏或者提权,也并没有改变游戏本身的执行流程,但它确确实实的是一个游戏漏洞。漏洞发生在游戏下,导致了漏洞的目的也随着改变,从以前的提权入侵,变成了影响游戏公平。
我们将任何影响到游戏公平的正常手段都称之为游戏漏洞。这种定义看上去很像是游戏外挂的定义任何影响到游戏公平的插件都可以称为游戏外挂)事实上,游戏漏洞的存在就是外挂存在的根本原因。
离线wszgl1

只看该作者 沙发  发表于: 2017-12-29
??????????????????????????????????
离线山雨

只看该作者 板凳  发表于: 01-05
天域6u56utyu5667
https://www.2345.com/?k63020979
快速回复
限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
上一个 下一个