诸如扎绵羊、黄金矿工这样的flash小游戏在SNS网站出现
特别是排行榜功能,用户攀比心理作祟,有一些稍微懂点技术的用户开始试图利用各种技术攻克flash,使得自己的积分、金币飞涨
攻击手段:
1.用相关工具破解flash,看flash怎么与服务器交互
2.用抓包工具分析游戏提交了什么数据到服务端
首先要限制 swf 不允许直接使用 flashplayer 就可以跑, 这个很简单.
然后每打开一个包含 swf 的网页的时候, 网页传送一个 key 给 swf, swf 通过这个 key 再发回给服务端,再做个 session , 然后进行比较, 就可以确保基本安全了
但是如果hacker继续用Fiddler这样的工具,看到你提交了防作弊的session怎么办
他可以利用curl技术使他的请求附带一个session,再同时提交一个key,仍然可以作弊
而且session还有一个问题,默认的1440表示24分钟如果客户端没有与服务器交互,回话就过期
有的游戏,比如黄金矿工用户可能玩1个多小时,这种放作弊的办法导致正常用户也无法提交成绩
那就把session挪到服务器端
包含swf的网页,在打开的时候生成一个时间戳time,存入该用户的表,同时传给swf的key=md5("123".time)
正常玩家在提交成绩的时候,服务器接收到一个key,利用key=md5("123".服务器上存的time)的关系,可以判断该玩家是正常用户还是hacker