网页游戏外挂分析及防范

最近在开发社区版网页游戏,其实在整个开发过程中碰到了不少问题。而这些问题也被很细心的用户们发现,并使用外挂程序钻了空子。例如我在前面曾写过的一篇博客《web开发安全守则之永远不要相信用户的输入》中介绍过,因为判断用户购买道具时,整个程序遗漏对负数的处理。今天借着另外一个外挂问题,讲讲网页游戏中的外挂。

网页游戏里面的外挂和网络游戏的外挂是截然不同的,需要技术也要简单很多。一般常用方法是使用模拟http的数据提交,当然这个过程需要知道前台(一般flash)的请求接口以及该请求接口的功能;使用程序自动地按序调用这些接口。

例如:在农场游戏中偷取好友的菜, 而这个操作需要访问http://www.aaa.com/steal.php,它需要传递参数a=B;c=D; 那么下面这段php脚本就能达到这么一个效果(注意一般程序都需要登录,这里你需要处理传递那边的session——id,具体可以使用下面提到的两个工具获得)


  
    
$rr_url = 'http://www.aaa.com/steal.php';

function curlCookie($url, $cookie, $post)

{

    $ch = curl_init();

    curl_setopt($ch, CURLOPT_URL, $url);

    curl_setopt($ch, CURLOPT_HEADER, false);

    $cookie && curl_setopt($ch, CURLOPT_COOKIE, $cookie);

    curl_setopt($ch, CURLOPT_POST, true);

    $post  && curl_setopt($ch, CURLOPT_POSTFIELDS, $post);

    curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);

    $res = curl_exec($ch);

    curl_close($ch);

    return $res;

}

$cookie = '';//这个是记录你登陆的session_id

$post = http_build_query(array('a'=>'B', 'c'=>'D'));

curlCookie($rr_url, $cookie, $post);


如果你把整个游戏的流程分析清楚了(要有耐心),那么写成一系列的这样的请求脚本,你就可以让程序自动跑了。至于怎么样去观察每个请求的详细信息,这个有两个工具,使用firefox的话,一般就用firebug;在ie下面使用httpwatch。

 

上面是进行网页网挂开发的基础知识,要知道更多的东西,就需要了解http的协议了,不过有上面知识你就入门了;于是不使用手动玩游戏,让外挂程序帮你实现。而要获取更大的好处,就需要寻找程序的漏洞,这可是是个需要耐心的活。举个例子,该游戏是一款足球游戏, 你每天可以与别人打比赛,但是每天比赛场次有限制,一天最多能打30场。而你想免费多打几场的话,就需要找漏洞:

 

1.最简单的方式:从打比赛的接口下手,首先尝试使用多并发的程序不停地访问这个接口,我们遇到的问题就是在php的fastcgi进行处理的时候,由于是一个人多个请求:

A:判断剩余场次

B:中间执行代码

C:更新比赛场次

两个请求出现了这么一种情况, i请求在执行B, 这个时候ii请求执行了A,这样他就可以多打比赛了,对于这样的操作我们可以设置标志变量;另外B的过程会很短,给利用的机会并不多。

php也有多线程的操作,下面是前面程序的多线程版本

 

function multiCurlCookie($url, $cookie, $post)

{

	$main = curl_multi_init();

	for($i=0; $i<THREADS; $i++)

	{

		$ch[$i] = curl_init($url);

		curl_setopt($ch[$i], CURLOPT_URL, $url);

		curl_setopt($ch[$i], CURLOPT_HEADER, false);

		$cookie && curl_setopt($ch[$i], CURLOPT_COOKIE, $cookie);

		curl_setopt($ch[$i], CURLOPT_POST, true);

		$post  && curl_setopt($ch[$i], CURLOPT_POSTFIELDS, $post);

		curl_setopt($ch[$i], CURLOPT_RETURNTRANSFER, true);

		curl_multi_add_handle($main, $ch[$i]);

	}

	$running = 0;

	do{

		curl_multi_exec($main, $running);

	}while($running > 0);



	for($i=0; $i<THREADS; $i++)

	{

		$s .= var_export(curl_multi_getContent($ch[$i]), true) . "\n";

	}

	file_put_contents('curl', $s);

	curl_multi_close($main);

}

 

 

2。找更新比赛场次的地方。例如我们这款游戏, 就是在某一个地方更新比赛的场次的逻辑处理出了问题,而聪明的外挂者发现了这个问题,于是利用这个漏洞不断打比赛,打完以后又不定地将比赛场次更新大最大值。

 

下面说说如何防御这样的外挂:

1. 对程序进行详细地测试

2.对程序修改的时候,要考虑周全,绝大多数破坏行为是由于程序没有考虑周全,同时我们也不得不佩服这些外挂者的细心

3.对一些敏感的信息要做日志,方便以后观察

 

发现系统出了外挂,我们从那些地方找到入侵者的蛛丝马迹:

1.php的错误日志--检查用户是否有非法的输入,造成php错误

2.nginx/apache的访问日志记录,检查用户访问程序的顺序和具体的接口,看其中是否有可能存在的漏洞

3.自己的日志记录,一般的程序会对关键部分记录日志,以此观察某些操作是否正常---这一项在程序设计的时候就需要考虑

4.数据库里面的数据,观察用户更新了那些与他相关的数据

5.数据库语句的日志记录---例如mysql里面的bin.log文件

 

今天出现的这个问题 就是发现数据库操作日志文件中大量更新比赛场次的操作,调整思路,找出原来在更新比赛场次时的一个问题。也就是程序上的逻辑考虑不周全。

 

简单地说了这么多,其实核心就是程序设计的时候要考虑周全,留意用户的不正常行为。我们没有测试到的地方,外挂开发者们帮我找到了,于是尽快发现问题,解决问题。我这里的并没有提到其他方面的安全问题,例如服务器和数据库的操作权限造成的管理权限泄漏,php脚本的攻击。这些都是在程序一开始就必须做的基本安全防范。

你可能感兴趣的:(网页游戏)