|
|
登录论坛,更多趣闻美图好福利!
您需要 登录 才可以下载或查看,没有帐号?注册
x
我是从08年高中开始就玩天下贰的玩家,陆陆续续退坑回归退坑回归,值到天下贰怀旧服,我喜欢这款游戏,不管他花钱不花钱,就是喜欢每天打打战场,周六打打势力战,单机玩会。
最近看到论坛有玩家的帖子,说藏宝阁抢不到东西,公示期一到秒没,怀疑有G,作为毕业后一直从事网络安全渗透菜鸟的我闲来无事,就去看一下藏宝阁到底可不可能有G,我不想我喜欢的天下游戏黑暗下去,至于开发组重不重视,就无能为力了
1. 藏宝阁网页版
接口请求可以随意抓包,虽然一些参数做了简单加密处理,但我觉得安全级别不够,花时间应该可以破解实现自动购买
防御策略:
1.首先需要找渗透测试人员做一次或多次渗透测试工作,根据报告彻底整改,加强网络安全
2.加强api之间通讯加密,接口和参数随机周期变动
2.藏宝阁手机端app
可以反编译查看源代码,没有对运行环境做任何检测,应该可以hook实现自动抢装备
防御策略:
1.同上1
2.app做安全加固,源代码都泄露了。。。。
3.运行环境检测
4.做好安全防护后,低于最新版本不能使用
就说这么多,上班间隙去瞅了一眼,重不重视你说了算
哎! |
|
发表于 2023-9-5 14:43
收藏
发表于 2023-9-5 16:06
