这个得游戏安全同学来回答更好,不过我说下我的一些hacking心得吧。
网页游戏分两类:flash游戏与html游戏。
flash游戏与服务端通信的消息格式有两类:
1. 是flash特有的amf消息格式。这个格式是可逆的,一般外挂就会逆出这个格式,然后自动化。
2. http协议,这个导致的服务端安全问题和普通的网站基本没什么区别,因为此时服务端都是nginx, lighttp, apache, tomcat之类,服务端语言是:php, java, python之类。
我遇到的一些flash游戏,相关逻辑在客户端进行,缺乏服务端验证,直接导致我可以无限金币,无限装备…开发者以为flash那么厚,看不到运算逻辑,实际上要反编译出源码很容易,比如用swfscan,很多时候的攻击直接在浏览器中间人抓包拦截,就更容易了:)
html游戏
这个和服务端通信就是http了,如果用了html5,也许会用websocket。不过一般都是http协议,所以服务端安全问题和普通网站没什么区别。
由于是html,在客户端上还可能出现XSS, CSRF等问题,这类客户端安全问题可能导致用户账号被劫持等问题。
整体来说,搞网页游戏的攻击成本更低。
最后补充下:早就被黑产盯上了。根本不用想,我最佩服黑产兄弟,他们比我们速度快N倍!
