游戏安全资讯精选 2018年第七期:棋牌游戏的商业模式和风险,黑客利用Apache CouchDB中的两个“老漏洞”挖币,阿里云成功防御国内最大规模Memcached DDoS反射攻击

简介: 棋牌游戏的商业模式和风险,黑客利用Apache CouchDB中的两个“老漏洞”挖币,阿里云成功防御国内最大规模Memcached DDoS反射攻击

0e2605beda5386c9bd151bbc132da6d1279b929d



【游戏行业安全动态】
这篇文章告诉你棋牌游戏过往和未来

概要:由于棋牌游戏本身特殊性,相对传统网络游戏更加的“轻度”,用户的使用环境也会有所不同。 

A、非WIFI网络用户多:常规的棋牌游戏在流量消耗以及对网络环境的要求比较低,且碎片化场景更多,也是促使棋牌游戏在网络环境上大多数用户依然是非WIFI;所以在产品设计上要尽量考虑到流量消耗方面,有大消耗比如视频等玩法的时候要提醒用户使用WIFI

B、低端机多:棋牌游戏的简单的画面,所以对低端机也有天生的友好;

C、年龄层偏上,男性用户为主;

D、地域性强,主要分布在四川、重庆、江苏以及沿海城市。

棋牌游戏最大的风险在于“涉赌”,很容易被“有心人”用来作为赌博的工具,所以开发者必须了解相关法律法规,规避风险才能长远发展。整理了常见相关政策要求,供参考:

1.禁止资金双向流动;禁止接受投注的、提供给他人组织赌博、参与赌博网站利润分成。

2.不得在用户直接投入现金或虚拟币前提下采取抽签、押宝、随机收取等偶然方式分配游戏道具或者虚拟货币;不得以偶然方式获得金币;不得提供用户间赠予转让游戏积分等转账服务。

3.网络游戏经营单位不得收取或以“虚拟货币”等方式变相收取与游戏输赢相关的佣金。


再看看规避政策:

1.玩家输赢的都是虚拟的无价值的数值,不能界定为“财物输赢”,则不涉及赌博。

2.不以营利为目的,进行带有少量财物输赢的娱乐活动,以及提供棋牌室等娱乐场所只收取正常的场所和服务费用的经营行为等,不以赌博论处;游戏中进行财富输赢必须设置上限。

3.提供游戏服务,允许收取费用。在收取费用的方式上不能采用类似赌场抽水的方式,从赢家赢取的额度中按照比例抽水。而应该采用与玩家输赢没有必然关系的收取方式。(来源:棋牌游戏圈)


点评:游戏行业2017年活在腾讯和网易阴影下的游戏公司开始另辟蹊径,棋牌是去年的一个热门领域,竞争非常激烈,竞争的同时也伴随诸多安全问题。由于门槛太低,也存在一些不规范的厂商破坏竞争氛围,打破游戏竞技娱乐的初衷,可以预见今年随着网络安全法问世,国家监管层会加大监管力度,规范游戏厂商合法经营,创造和谐稳定经营氛围。


【相关安全事件】黑客利用Apache CouchDB中的两个“老漏洞”挖币


概要:此次被利用的两个漏洞是在2017年11月15日被公开披露。它们分别是: 

  • 高危:Apache CouchDB JSON远程特权升级漏洞(CVE-2017-12635)
  • 高危:Apache CouchDB _config命令执行(CVE-2017-12636)
 
前者被描述为远程特权提升漏洞,后者则是一个命令执行漏洞。以上两个漏洞在2017年发布官方公告,并表示已经被修复 。 
具体来讲,CVE-2017-12635是由于Erlang和JavaScript对JSON解析方式的不同,导致语句执行产生差异性导致的,可被利用于赋予任意用户系统管理员权限;CVE-2017-12636则是由于数据库身设计原因导致的,拥有系统管理员权限的用户可以通过HTTP(S)方式配置数据库。在某些配置中,用户可以设置可执行文件的路径,以在数据库运行范围内执行。两者结合,则可实现任意代码远程执行。 (漏洞情报来源:趋势科技)
 


【云上视角】758.6G每秒:阿里云成功防御国内最大规模Memcached DDoS反射攻击


概要:本周,阿里云安全DDoS监控中心数据显示,利用Memcached 进行DDoS攻击的趋势快速升温。今天, 阿里云已经成功监控和防御一起流量高达758.6Gbps的Memcached DDoS反射攻击。


点评:随着利用Memcached进行DDoS攻击技术的公开,越来越多尝试使用Memcached进行反射的DDoS发生,并且此类型DDoS攻击正快速上升。近期,黑客已经扫描并收集全球可以被利用的MemcachedIP,并出现大量试探性超大流量Memcached DDoS攻击,下一步Memcached大流量DDoS攻击将成熟化并大量出现,成为黑客新的利器。


当前互联网上的反射点数量及危害

整个互联网可以用于Memcached反射的IP达到数十万,为攻击者提供了海量的军火库。

随着超大流量DDoS发起难度降低,IDC和云服务商需要储备更多的网络带宽用于防御,中小型IDC将很难应对这种超大规模DDoS攻击,只有具备超大带宽和运营商黑洞能力的云服务商才能有力应对。

目前,阿里云已提供Memcached安全配置建议,并在安骑士提供修复引导,帮助云上用户修复Memcached风险。高防IP中已提供UDP反射封禁服务。


快来阿里云新年采购季限时优惠(点击直接进入会场)

9大实用安全产品,助力企业快速优化安全效果。

把好第一道ROI关卡,让企业安全在2018年全面升级。

今天,从这里开始!




订阅 NEWS FROM THE LAB


一键订阅刊物

云栖社区专栏获取最新资讯

微博专栏获取最新资讯

一点号获取最新资讯


029307c2bf99a126e3c7d4b050286cfed9f71a06


扫码参与全球安全资讯精选

读者调研反馈 

目录
相关文章
|
6月前
|
消息中间件 安全 API
《阿里云产品四月刊》—Apache RocketMQ ACL 2.0 全新升级(1)
阿里云瑶池数据库云原生化和一体化产品能力升级,多款产品更新迭代
315 1
《阿里云产品四月刊》—Apache RocketMQ ACL 2.0 全新升级(1)
|
6月前
|
消息中间件 安全 Apache
《阿里云产品四月刊》—Apache RocketMQ ACL 2.0 全新升级(4)
阿里云瑶池数据库云原生化和一体化产品能力升级,多款产品更新迭代
193 1
《阿里云产品四月刊》—Apache RocketMQ ACL 2.0 全新升级(4)
|
2月前
|
存储 安全 数据可视化
提升网络安全防御有效性,服务器DDoS防御软件解读
提升网络安全防御有效性,服务器DDoS防御软件解读
57 1
提升网络安全防御有效性,服务器DDoS防御软件解读
|
6月前
|
消息中间件 安全 Apache
《阿里云产品四月刊》—Apache RocketMQ ACL 2.0 全新升级(2)
阿里云瑶池数据库云原生化和一体化产品能力升级,多款产品更新迭代
264 0
《阿里云产品四月刊》—Apache RocketMQ ACL 2.0 全新升级(2)
|
1月前
|
SQL DataWorks 关系型数据库
阿里云 DataWorks 正式支持 SelectDB & Apache Doris 数据源,实现 MySQL 整库实时同步
阿里云数据库 SelectDB 版是阿里云与飞轮科技联合基于 Apache Doris 内核打造的现代化数据仓库,支持大规模实时数据上的极速查询分析。通过实时、统一、弹性、开放的核心能力,能够为企业提供高性价比、简单易用、安全稳定、低成本的实时大数据分析支持。SelectDB 具备世界领先的实时分析能力,能够实现秒级的数据实时导入与同步,在宽表、复杂多表关联、高并发点查等不同场景下,提供超越一众国际知名的同类产品的优秀性能,多次登顶 ClickBench 全球数据库分析性能排行榜。
|
29天前
|
数据采集 边缘计算 安全
高防CDN防御ddos攻击的效果怎么样
如在线购物、支付及娱乐。然而,随着企业价值和知名度提升,它们可能遭受竞争对手或黑客的DDoS攻击,即通过大量僵尸网络使目标服务器过载,导致服务中断,造成经济损失和声誉损害。针对这一挑战,天下数据推出的高防CDN不仅具备传统CDN的加速功能,还能有效抵御DDoS攻击,保护企业网络安全。
47 0
|
2月前
|
监控 安全 JavaScript
DDoS攻击趋势令人担忧,安全防御体系构建指南
DDoS攻击趋势令人担忧,安全防御体系构建指南
70 1
|
3月前
|
云安全 SQL 安全
揭秘DDoS与CC攻击的异同与防御策略!
本文详细解析了CC攻击与DDoS攻击这两种常见网络威胁,探讨了它们的异同及防御策略。通过一个网站遭遇攻击的真实案例,揭示了CC攻击的隐蔽性和DDoS攻击的强大破坏力。文章还介绍了德迅云的高防服务器解决方案,强调了加强网络安全意识和技术防护的重要性,帮助网站运营者有效抵御网络攻击,确保业务稳定运行。
|
4月前
|
存储 消息中间件 人工智能
AI大模型独角兽 MiniMax 基于阿里云数据库 SelectDB 版内核 Apache Doris 升级日志系统,PB 数据秒级查询响应
早期 MiniMax 基于 Grafana Loki 构建了日志系统,在资源消耗、写入性能及系统稳定性上都面临巨大的挑战。为此 MiniMax 开始寻找全新的日志系统方案,并基于阿里云数据库 SelectDB 版内核 Apache Doris 升级了日志系统,新系统已接入 MiniMax 内部所有业务线日志数据,数据规模为 PB 级, 整体可用性达到 99.9% 以上,10 亿级日志数据的检索速度可实现秒级响应。
AI大模型独角兽 MiniMax 基于阿里云数据库 SelectDB 版内核 Apache Doris 升级日志系统,PB 数据秒级查询响应
|
2月前
|
人工智能 安全 网络协议
如何防御DDoS攻击?教你由被动安全转变为主动安全
如何防御DDoS攻击?教你由被动安全转变为主动安全
499 0

推荐镜像

更多