游戏安全资讯精选 2018年第七期:棋牌游戏的商业模式和风险,黑客利用Apache CouchDB中的两个“老漏洞”挖币,阿里云成功防御国内最大规模Memcached DDoS反射攻击

简介: 棋牌游戏的商业模式和风险,黑客利用Apache CouchDB中的两个“老漏洞”挖币,阿里云成功防御国内最大规模Memcached DDoS反射攻击

0e2605beda5386c9bd151bbc132da6d1279b929d



【游戏行业安全动态】
这篇文章告诉你棋牌游戏过往和未来

概要:由于棋牌游戏本身特殊性,相对传统网络游戏更加的“轻度”,用户的使用环境也会有所不同。 

A、非WIFI网络用户多:常规的棋牌游戏在流量消耗以及对网络环境的要求比较低,且碎片化场景更多,也是促使棋牌游戏在网络环境上大多数用户依然是非WIFI;所以在产品设计上要尽量考虑到流量消耗方面,有大消耗比如视频等玩法的时候要提醒用户使用WIFI

B、低端机多:棋牌游戏的简单的画面,所以对低端机也有天生的友好;

C、年龄层偏上,男性用户为主;

D、地域性强,主要分布在四川、重庆、江苏以及沿海城市。

棋牌游戏最大的风险在于“涉赌”,很容易被“有心人”用来作为赌博的工具,所以开发者必须了解相关法律法规,规避风险才能长远发展。整理了常见相关政策要求,供参考:

1.禁止资金双向流动;禁止接受投注的、提供给他人组织赌博、参与赌博网站利润分成。

2.不得在用户直接投入现金或虚拟币前提下采取抽签、押宝、随机收取等偶然方式分配游戏道具或者虚拟货币;不得以偶然方式获得金币;不得提供用户间赠予转让游戏积分等转账服务。

3.网络游戏经营单位不得收取或以“虚拟货币”等方式变相收取与游戏输赢相关的佣金。


再看看规避政策:

1.玩家输赢的都是虚拟的无价值的数值,不能界定为“财物输赢”,则不涉及赌博。

2.不以营利为目的,进行带有少量财物输赢的娱乐活动,以及提供棋牌室等娱乐场所只收取正常的场所和服务费用的经营行为等,不以赌博论处;游戏中进行财富输赢必须设置上限。

3.提供游戏服务,允许收取费用。在收取费用的方式上不能采用类似赌场抽水的方式,从赢家赢取的额度中按照比例抽水。而应该采用与玩家输赢没有必然关系的收取方式。(来源:棋牌游戏圈)


点评:游戏行业2017年活在腾讯和网易阴影下的游戏公司开始另辟蹊径,棋牌是去年的一个热门领域,竞争非常激烈,竞争的同时也伴随诸多安全问题。由于门槛太低,也存在一些不规范的厂商破坏竞争氛围,打破游戏竞技娱乐的初衷,可以预见今年随着网络安全法问世,国家监管层会加大监管力度,规范游戏厂商合法经营,创造和谐稳定经营氛围。


【相关安全事件】黑客利用Apache CouchDB中的两个“老漏洞”挖币


概要:此次被利用的两个漏洞是在2017年11月15日被公开披露。它们分别是: 

  • 高危:Apache CouchDB JSON远程特权升级漏洞(CVE-2017-12635)
  • 高危:Apache CouchDB _config命令执行(CVE-2017-12636)
 
前者被描述为远程特权提升漏洞,后者则是一个命令执行漏洞。以上两个漏洞在2017年发布官方公告,并表示已经被修复 。 
具体来讲,CVE-2017-12635是由于Erlang和JavaScript对JSON解析方式的不同,导致语句执行产生差异性导致的,可被利用于赋予任意用户系统管理员权限;CVE-2017-12636则是由于数据库身设计原因导致的,拥有系统管理员权限的用户可以通过HTTP(S)方式配置数据库。在某些配置中,用户可以设置可执行文件的路径,以在数据库运行范围内执行。两者结合,则可实现任意代码远程执行。 (漏洞情报来源:趋势科技)
 


【云上视角】758.6G每秒:阿里云成功防御国内最大规模Memcached DDoS反射攻击


概要:本周,阿里云安全DDoS监控中心数据显示,利用Memcached 进行DDoS攻击的趋势快速升温。今天, 阿里云已经成功监控和防御一起流量高达758.6Gbps的Memcached DDoS反射攻击。


点评:随着利用Memcached进行DDoS攻击技术的公开,越来越多尝试使用Memcached进行反射的DDoS发生,并且此类型DDoS攻击正快速上升。近期,黑客已经扫描并收集全球可以被利用的MemcachedIP,并出现大量试探性超大流量Memcached DDoS攻击,下一步Memcached大流量DDoS攻击将成熟化并大量出现,成为黑客新的利器。


当前互联网上的反射点数量及危害

整个互联网可以用于Memcached反射的IP达到数十万,为攻击者提供了海量的军火库。

随着超大流量DDoS发起难度降低,IDC和云服务商需要储备更多的网络带宽用于防御,中小型IDC将很难应对这种超大规模DDoS攻击,只有具备超大带宽和运营商黑洞能力的云服务商才能有力应对。

目前,阿里云已提供Memcached安全配置建议,并在安骑士提供修复引导,帮助云上用户修复Memcached风险。高防IP中已提供UDP反射封禁服务。


快来阿里云新年采购季限时优惠(点击直接进入会场)

9大实用安全产品,助力企业快速优化安全效果。

把好第一道ROI关卡,让企业安全在2018年全面升级。

今天,从这里开始!




订阅 NEWS FROM THE LAB


一键订阅刊物

云栖社区专栏获取最新资讯

微博专栏获取最新资讯

一点号获取最新资讯


029307c2bf99a126e3c7d4b050286cfed9f71a06


扫码参与全球安全资讯精选

读者调研反馈 

目录
相关文章
|
4天前
|
监控 负载均衡 安全
什么是DDoS攻击及如何防护DDOS攻击
通过上述防护措施,企业和组织可以构建全面的DDoS防护体系,有效抵御各类DDoS攻击,确保网络和服务的稳定运行。
36 10
|
27天前
|
数据采集 边缘计算 安全
高防CDN防御ddos攻击的效果怎么样
如在线购物、支付及娱乐。然而,随着企业价值和知名度提升,它们可能遭受竞争对手或黑客的DDoS攻击,即通过大量僵尸网络使目标服务器过载,导致服务中断,造成经济损失和声誉损害。针对这一挑战,天下数据推出的高防CDN不仅具备传统CDN的加速功能,还能有效抵御DDoS攻击,保护企业网络安全。
46 0
|
1月前
|
网络协议 安全 物联网
网络安全涨知识:基础网络攻防之DDoS攻击
网络安全涨知识:基础网络攻防之DDoS攻击
78 0
|
2月前
|
监控 安全 JavaScript
DDoS攻击趋势令人担忧,安全防御体系构建指南
DDoS攻击趋势令人担忧,安全防御体系构建指南
70 1
|
4月前
|
存储 消息中间件 Java
Apache Flink 实践问题之原生TM UI日志问题如何解决
Apache Flink 实践问题之原生TM UI日志问题如何解决
49 1
|
11天前
|
存储 人工智能 大数据
The Past, Present and Future of Apache Flink
本文整理自阿里云开源大数据负责人王峰(莫问)在 Flink Forward Asia 2024 上海站主论坛开场的分享,今年正值 Flink 开源项目诞生的第 10 周年,借此时机,王峰回顾了 Flink 在过去 10 年的发展历程以及 Flink社区当前最新的技术成果,最后展望下一个十年 Flink 路向何方。
289 33
The Past, Present and Future of Apache Flink
|
2月前
|
SQL Java API
Apache Flink 2.0-preview released
Apache Flink 社区正积极筹备 Flink 2.0 的发布,这是自 Flink 1.0 发布以来的首个重大更新。Flink 2.0 将引入多项激动人心的功能和改进,包括存算分离状态管理、物化表、批作业自适应执行等,同时也包含了一些不兼容的变更。目前提供的预览版旨在让用户提前尝试新功能并收集反馈,但不建议在生产环境中使用。
845 13
Apache Flink 2.0-preview released
|
2月前
|
存储 缓存 算法
分布式锁服务深度解析:以Apache Flink的Checkpointing机制为例
【10月更文挑战第7天】在分布式系统中,多个进程或节点可能需要同时访问和操作共享资源。为了确保数据的一致性和系统的稳定性,我们需要一种机制来协调这些进程或节点的访问,避免并发冲突和竞态条件。分布式锁服务正是为此而生的一种解决方案。它通过在网络环境中实现锁机制,确保同一时间只有一个进程或节点能够访问和操作共享资源。
89 3
|
3月前
|
SQL 消息中间件 关系型数据库
Apache Doris Flink Connector 24.0.0 版本正式发布
该版本新增了对 Flink 1.20 的支持,并支持通过 Arrow Flight SQL 高速读取 Doris 中数据。
|
4月前
|
消息中间件 监控 数据挖掘
基于RabbitMQ与Apache Flink构建实时分析系统
【8月更文第28天】本文将介绍如何利用RabbitMQ作为数据源,结合Apache Flink进行实时数据分析。我们将构建一个简单的实时分析系统,该系统能够接收来自不同来源的数据,对数据进行实时处理,并将结果输出到另一个队列或存储系统中。
290 2

推荐镜像

更多