最近捕鱼游戏比较火,去几个平台玩过几次,发现都存在可以刷金币的问题。 漏洞存在于,鱼的行动路径是保存在客户端的,炮弹发出去得不得金币也是客户端判断后发回服务端的,服务端也没有其他机制判断,就将金币直接入库。
目前发现三个版本的捕鱼游戏:
其中一款,pa客户端下载安装th 文件直接暴露在外面,可以轻易的被替换;
另金币图片一款用自带的打包方式打包,但是打包工具很容易在网络上得到;
还有一服务端款使用HGE的,游戏资源用 zip 打包加密,游戏又用了客户端打开强壳保护,dump 游戏以后,发现解压密码也被加密,这些地方做的很不错,可惜在HGE暴露了一个漏洞深海恐惧症图片,使所有保护功亏一篑;
目前能想到的解决方法:
(1)服务端禁止接入怎么解决path文件个头比较小,房间人数不多的话,可以考深海迷航虑放到服务端,动态发送
(2)zip打包,游戏深海迷航做保护也还不错,最好客户端再游戏名字古风诗意做一些验证能校验文件是否被替换了
网狐的深海捕鱼游戏刷金问题原文链接:https://qipaiyuanmaxiazai.com/12339.html,转载请注明出处~~~
评论0