阅读目录
漏洞与游戏漏洞
发布于:2017-12-14 15:51 | 84299次阅读 作者: 管理员 | 原作者: TP
漏洞一词,在信息安全界并不陌生,从2014年的Heartbleed(CVE-2014-0160),到2017年的WannaCry(CVE-2017-0144),每一次重大影响的安全大事件,总离不开一个漏洞的爆发。那到底什么是漏洞呢? 百度百科上定义到:“漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统” 这个解释现在来看并不全面,泉哥在《漏洞战争》中,对漏洞的本质进一步解释为: “程序世界:由于程序(web,二进制等)存在安全缺陷,导致攻击者恶意构造的数据进入程序相关处理代码时,会改变程序原定的执行流程,从而实现破坏或获取超出原有权限的能力 安全策略:由于系统(网站,软件,操作系统等)安全策略设置得不够严谨或者未做设置,导致攻击者能够在未经授权的情况下,获得对目标系统原本不应拥有的访问或控制提权” 总结起来,这些漏洞都具有以下特性: 1. 产生时机:信息输入,输出 2. 作用范围:程序,策略 3. 表现形式:改变原本流程,更改原本逻辑 4. 目的:破坏,提权 现今网络游戏作为大型分布式系统,必然存在漏洞,但我们本篇所描述的游戏漏洞与上述漏洞又有什么区别呢? 游戏漏洞,从字面上理解,他继承于漏洞,漏洞的产生时机,作用范围都和上述相似,但他也是漏洞的一个子类,具有自身单独的特性,比如:通过漏洞获得游戏中的绝版的装备,可能漏洞并没有尝试服务器入侵提权,更改DB,也许只是简单的利用了一条协议的重发;通过漏洞控制敌对玩家,可能这个漏洞也没有涉及客户端入侵,也许只是在本地更改了一个玩家ID…… 上述漏洞似乎都没有对攻击者进行破坏或者提权,也并没有改变游戏本身的执行流程,但它确确实实的是一个游戏漏洞。漏洞发生在游戏下,导致了漏洞的目的也随着改变,从以前的提权入侵,变成了影响游戏公平。 我们将任何影响到游戏公平的非正常手段都可称之为游戏漏洞。这种定义看上去很像是游戏外挂的定义(任何影响到游戏公平的插件都可以称为游戏外挂),事实上,游戏漏洞的存在就是外挂存在的根本原因。 |
最新评论
发表评论