游戏安全资讯精选 2018年第二期:游戏行业年度白皮书;手游外挂、直播答题安全风险解析,近30%外挂手游存在致命安全问题,八招应对短信验证码攻击

本文涉及的产品
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
全局流量管理 GTM,标准版 1个月
云解析 DNS,旗舰版 1个月
简介: 游戏行业年度白皮书;手游外挂、直播答题安全风险解析,近30%外挂手游存在致命安全问题,八招应对短信验证码攻击

0e2605beda5386c9bd151bbc132da6d1279b929d


【游戏行业安全动态】游戏行业年度白皮书


概要:刚刚结束的2017年,作为游戏行业买量竞争升级的一年,广告主纷纷表示压力山大,用户获取成本已经高到了临界点,而各个广告平台则希望在2018年广告收入还能再翻一翻,游戏买量市场能否在2018年持续增长我们拭目以待,本篇报告我们主要以2017年买量游戏行业数据为基础来回顾一下行业的发展情况。

从2017年全年的数据看,买量游戏主要还是以角色扮演产品为主,占所有买量产品的69.61%,其次是策略游戏占全年买量游戏比例的10.13%,另外今年有不少地方棋牌的产品也加入到了买量的队伍中,占所有买量游戏的8.09%,然而随着国家政策的管控,一线的广告平台和媒体对棋牌产品的投放管理都很严格,如下是不同类型买量产品的占比情况:


2017年全年,热云数据TrackingIO服务客户的全年监测数据显示,累计有7855款产品投放广告,总共产生了2.9亿次有效的游戏激活,在不应用防作弊规则的情况下,产生的点击总数超过了2279亿次,平均每天超过6.2亿次点击。(来源:游戏陀螺)


点评:去年下半年,互联网圈子有两个无人不知的关键词就是吃鸡和挖矿,这两者看似毫无关系,一个是热门游戏,一个是“理财产品”,最近,终于有一波人把这两者有机结合在了一块——外挂开发者,外挂中包含挖矿木马,影响了数十万台电脑,与此之外还有盗刷道具、盗刷属性、盗刷金币、盗刷钻石等各种盗刷问题存在。


【游戏行业安全动态】2017年手游质量白皮书:近30%外挂手游存在致命安全问题,100M以上包体仅占20%


概要:今年是精品游戏大放异彩的一年,而吃鸡引领的战术竞技品类今年备受关注,其中出现了不少外挂问题,个别产品上线时也遇到了兼容性的问题,然而,只有把这些问题解决好,提升游戏产品质量,才能获得市场的认可。报告显示:近30%外挂手游存在致命安全问题,以飞行射击类游戏最为严重; “盗刷道具”为年度手游最频繁的致命外挂安全问题;登录、掉线类问题受到最多玩家反馈。(来源:游戏葡萄)


点评:如今这个游戏行业买量当道的时代里,游戏公司对买量的重视程度几乎达到了病态的地步,这不仅给游戏公司产生了巨大的损失,同时也给广大游戏灰色产业人士提供了大量的赚钱机会,买量成为游戏行业中猫腻最多的领域之一。


【游戏行业安全动态】直播问答背后的黑产困境


概要:目前网上主要有下面这些花样作弊方式:


1、线上抱团,答案共享:比如下面这样的QQ群,群介绍也很直白,“一边直播,一边直播答案”。就是大家抱团答题,实现实时答案共享。这种群同样在微信了也可以找到不少。

2、复活卡:目前的直播问答都有“复活”功能,比如你邀请了新的好友,就可以多一次复活机会。如果在某宝搜“冲顶大会复活卡”,你会发现这个已经有不少商家上架了这种商品,拍下之后可以获得“额外生命值”。一次只需数元,并且可以多次购买。

3、作弊外挂:在某宝搜索“冲顶大会辅助”,同样不会让你“失望”,20元的辅助答题软件,无需复活卡,宝贝评价里有这样的描述“识别度精准,毫秒级,答题神器”。

4、智能辅助答题:国内某智能音箱也增加了“冲顶助手”功能,增加了题库的投入。实际上是利用语音智能搜索的功能,用户提到“冲顶大会、冲顶助手、百万英雄、芝士超人、黄金十秒、答题助手”等关键词,就可触发“冲顶助手”功能。不过这种辅助的“智能作弊”对语音技术和搜索引擎技术的要求相对较高,效果怎样不得而知,但利用人工智能来实现作弊想想还是有点不寒而栗的。(来源:网易)


【云上视角】1月19日阿里云平台安全升级通告


概要:近日,Intel处理器被爆出严重安全隐患,可导致操作系统内核信息泄露、应用程序越权访问系统内核数据等问题(漏洞详情可点此查看)。漏洞披露前,阿里云已与Intel同步关键安全信息,并持续就修复方案做验证。

 

解决该安全隐患的完整修复方案包含两个部分,一是云平台虚拟化宿主机修复,二是客户侧的操作系统更新。目前,阿里云已经启动了云平台底层基础架构的漏洞修复更新,预计于北京时间1月19日24点之前完成。该方案由于采用了热升级方式,正常情况下不会对客户业务带来影响。

 

由于此隐患涉及过去10年间Intel的绝大部分CPU型号,已知有部分场景下不支持热升级方案。与之相关的客户我们会另行提前通知,请确保预留的联系方式(手机、邮箱)畅通。我们建议客户根据业务情况,提前调整和准备运营预案,妥善备份重要业务数据。

 

在云平台底层基础架构的漏洞修复更新完成后,我们建议客户进行操作系统的补丁更新评估,以确保完整的安全性。阿里云正积极联合Intel、微软以及Linux各发行版本厂商验证操作系统更新方案。



【云上视角】阿里云安全专家:八招应对短信验证码攻击


概要:如今,大量的网站、网站、手机app都在使用短信验证码作为验证用户身份的安全技术措施。尤其在年底,企业的促销、抽奖、互动活动会迎来一个高峰期,用到短信验证码的场景非常频繁。但近期,阿里云·云盾WAF团队监测到,不少用户业务的短信验证码功能被攻击,短信接口被恶意利用,导致业务无法正常访问。同时,被刷的短信成本也直接造成一定量的资金损失。


点评:了解了风险之后,企业也不必过度担心,以下“指南”,可帮助了解如何防范短信验证码背后的安全风险。

1.手机号码逻辑检测

在手机号码窗口增加号码有效性检测,防止恶意攻击者使用无效或非法的号码,从而在第一窗口屏蔽非手机号的乱码等无效数字。

2.随机校验

在注册页添加个隐藏的<input>,设置保存在session中的随机验证码,发短信前验证一下,保证发验证码短信请求是在业务页面点击。

3.增加友好的图形验证码

即当用户进行“获取动态短信” 操作前,弹出图片验证码,要求用户输入验证码后,服务器端再发送动态短信到用户手机上,该方法可有效缓解短信轰炸问题。

由于当前验证码在攻防对抗中逐步被成功自动化识别破解,我们在选用安全的图形验证码也需要满足一定的防护要求。

4.同号码短信发送频率限制

采用限制重复发送动态短信的间隔时长, 即当单个用户请求发送一次动态短信之后,服务器端限制只有在一定时长之后(此处一般为60-120秒),才能进行第二次动态短信请求。该功能可进一步保障用户体验,并避免包含手工攻击恶 意发送垃圾验证短信。

5.不同号码请求数量限制

根据业务特点,针对不同手机号码、不同访问源IP访问请求进行频率限制,防止高并发非法请求消耗更多的短信包和服务器性能,提高业务稳定性。

6.场景流程限定

将手机短信验证和用户名密码设置分成两个步骤,用户在填写和校验有效的用户名密码后,下一步才进行手机短信验证,并且需要在获取第一步成功的回执之后才可进行校验。

7.启用https协议

为网站配置证书,启用https加密协议,防止传输明文数据被分析。

8.单IP请求限定

使用了图片验证码后,能防止攻击者有效进行“动态短信”功能的自动化调用。但若攻击者忽略图片验证码验证错误的情况,大量执行请求会给服务器带来额外负担,影响业务使用。建议在服务器端限制单个 IP 在单位时间内的请求次数,一旦用户请求次数(包括失败请求次数)超出设定的阈值,则暂停对该 IP 一段时间的请求。


若情节特别严重,可以将 IP 加入黑名单,禁止该 IP 的访问请求。该措施能限制一个 IP 地址的大量请求,避免攻击者通过同一个 IP 对大量用户进行攻击,增加了攻击难度,保障了业务的正常开展。



 

 


订阅 NEWS FROM THE LAB


云栖社区专栏获取最新资讯

微博专栏获取最新资讯

一点号获取最新资讯


029307c2bf99a126e3c7d4b050286cfed9f71a06


扫码参与全球安全资讯精选

读者调研反馈 

目录
相关文章
|
3天前
|
机器学习/深度学习 算法 数据挖掘
解析静态代理IP改善游戏体验的原理
静态代理IP通过提高网络稳定性和降低延迟,优化游戏体验。具体表现在加快游戏网络速度、实时玩家数据分析、优化游戏设计、简化更新流程、维护网络稳定性、提高连接可靠性、支持地区特性及提升访问速度等方面,确保更流畅、高效的游戏体验。
48 22
解析静态代理IP改善游戏体验的原理
|
3月前
|
机器学习/深度学习 安全 大数据
揭秘!企业级大模型如何安全高效私有化部署?全面解析最佳实践,助你打造智能业务新引擎!
【10月更文挑战第24天】本文详细探讨了企业级大模型私有化部署的最佳实践,涵盖数据隐私与安全、定制化配置、部署流程、性能优化及安全措施。通过私有化部署,企业能够完全控制数据,确保敏感信息的安全,同时根据自身需求进行优化,提升计算性能和处理效率。示例代码展示了如何利用Python和TensorFlow进行文本分类任务的模型训练。
203 6
|
2月前
|
域名解析 负载均衡 安全
DNS技术标准趋势和安全研究
本文探讨了互联网域名基础设施的结构性安全风险,由清华大学段教授团队多年研究总结。文章指出,DNS系统的安全性不仅受代码实现影响,更源于其设计、实现、运营及治理中的固有缺陷。主要风险包括协议设计缺陷(如明文传输)、生态演进隐患(如单点故障增加)和薄弱的信任关系(如威胁情报被操纵)。团队通过多项研究揭示了这些深层次问题,并呼吁构建更加可信的DNS基础设施,以保障全球互联网的安全稳定运行。
|
3月前
|
机器学习/深度学习 人工智能 安全
TPAMI:安全强化学习方法、理论与应用综述,慕工大、同济、伯克利等深度解析
【10月更文挑战第27天】强化学习(RL)在实际应用中展现出巨大潜力,但其安全性问题日益凸显。为此,安全强化学习(SRL)应运而生。近日,来自慕尼黑工业大学、同济大学和加州大学伯克利分校的研究人员在《IEEE模式分析与机器智能汇刊》上发表了一篇综述论文,系统介绍了SRL的方法、理论和应用。SRL主要面临安全性定义模糊、探索与利用平衡以及鲁棒性与可靠性等挑战。研究人员提出了基于约束、基于风险和基于监督学习等多种方法来应对这些挑战。
101 2
|
4月前
|
安全 Java 编译器
Java 泛型深入解析:类型安全与灵活性的平衡
Java 泛型通过参数化类型实现了代码重用和类型安全,提升了代码的可读性和灵活性。本文深入探讨了泛型的基本原理、常见用法及局限性,包括泛型类、方法和接口的使用,以及上界和下界通配符等高级特性。通过理解和运用这些技巧,开发者可以编写更健壮和通用的代码。
|
4月前
|
安全 网络安全 Android开发
深度解析:利用Universal Links与Android App Links实现无缝网页至应用跳转的安全考量
【10月更文挑战第2天】在移动互联网时代,用户经常需要从网页无缝跳转到移动应用中。这种跳转不仅需要提供流畅的用户体验,还要确保安全性。本文将深入探讨如何利用Universal Links(仅限于iOS)和Android App Links技术实现这一目标,并分析其安全性。
569 0
|
6月前
|
图形学 C#
超实用!深度解析Unity引擎,手把手教你从零开始构建精美的2D平面冒险游戏,涵盖资源导入、角色控制与动画、碰撞检测等核心技巧,打造沉浸式游戏体验完全指南
【8月更文挑战第31天】本文是 Unity 2D 游戏开发的全面指南,手把手教你从零开始构建精美的平面冒险游戏。首先,通过 Unity Hub 创建 2D 项目并导入游戏资源。接着,编写 `PlayerController` 脚本来实现角色移动,并添加动画以增强视觉效果。最后,通过 Collider 2D 组件实现碰撞检测等游戏机制。每一步均展示 Unity 在 2D 游戏开发中的强大功能。
324 6
|
5月前
|
设计模式 存储 人工智能
深度解析Unity游戏开发:从零构建可扩展与可维护的游戏架构,让你的游戏项目在模块化设计、脚本对象运用及状态模式处理中焕发新生,实现高效迭代与团队协作的完美平衡之路
【9月更文挑战第1天】游戏开发中的架构设计是项目成功的关键。良好的架构能提升开发效率并确保项目的长期可维护性和可扩展性。在使用Unity引擎时,合理的架构尤为重要。本文探讨了如何在Unity中实现可扩展且易维护的游戏架构,包括模块化设计、使用脚本对象管理数据、应用设计模式(如状态模式)及采用MVC/MVVM架构模式。通过这些方法,可以显著提高开发效率和游戏质量。例如,模块化设计将游戏拆分为独立模块。
299 3
|
3月前
|
监控 Java 应用服务中间件
高级java面试---spring.factories文件的解析源码API机制
【11月更文挑战第20天】Spring Boot是一个用于快速构建基于Spring框架的应用程序的开源框架。它通过自动配置、起步依赖和内嵌服务器等特性,极大地简化了Spring应用的开发和部署过程。本文将深入探讨Spring Boot的背景历史、业务场景、功能点以及底层原理,并通过Java代码手写模拟Spring Boot的启动过程,特别是spring.factories文件的解析源码API机制。
129 2
|
2月前
|
设计模式 存储 安全
【23种设计模式·全精解析 | 创建型模式篇】5种创建型模式的结构概述、实现、优缺点、扩展、使用场景、源码解析
创建型模式的主要关注点是“怎样创建对象?”,它的主要特点是"将对象的创建与使用分离”。这样可以降低系统的耦合度,使用者不需要关注对象的创建细节。创建型模式分为5种:单例模式、工厂方法模式抽象工厂式、原型模式、建造者模式。
【23种设计模式·全精解析 | 创建型模式篇】5种创建型模式的结构概述、实现、优缺点、扩展、使用场景、源码解析

推荐镜像

更多