這個得遊戲安全同學來回答更好,不過我說下我的一些hacking心得吧。
網頁遊戲分兩類:flash遊戲與html遊戲。
flash遊戲與伺服端通訊的訊息格式有兩類:
1. 是flash特有的amf訊息格式。這個格式是可逆的,一般外掛就會逆出這個格式,然後自動化。
2. http協定,這個導致的伺服端安全問題和普通的網站基本沒什麽區別,因為此時伺服端都是nginx, lighttp, apache, tomcat之類,伺服端語言是:php, java, python之類。
我遇到的一些flash遊戲,相關邏輯在客戶端進行,缺乏伺服端驗證,直接導致我可以無限金幣,無限裝備…開發者以為flash那麽厚,看不到運算邏輯,實際上要反編譯出源碼很容易,比如用swfscan,很多時候的攻擊直接在瀏覽器中間人抓包攔截,就更容易了:)
html遊戲
這個和伺服端通訊就是http了,如果用了html5,也許會用websocket。不過一般都是http協定,所以伺服端安全問題和普通網站沒什麽區別。
由於是html,在客戶端上還可能出現XSS, CSRF等問題,這類客戶端安全問題可能導致使用者賬號被劫持等問題。
整體來說,搞網頁遊戲的攻擊成本更低。
最後補充下:早就被黑產盯上了。根本不用想,我最佩服黑產兄弟,他們比我們速度快N倍!