手游安全测试(Security Radar,SR)为企业提供私密的安全测试服务,通过主动挖掘游戏业务安全漏洞(如钻石盗刷、服务器宕机、无敌秒杀等40多种漏洞),提前暴露游戏潜在安全风险,提供解决方案及时修复,最大程度降低事后外挂危害与外挂打击成本。该服务为腾讯游戏开放的独家手游安全漏洞挖掘技术,杜绝游戏外挂损失。

腾讯云手游安全测试为企业提供私密测试服务,连接腾讯安全测试专家,帮您提早揭露游戏外挂风险,检查支持 Unity3D、Cocos2D 等主流引擎,覆盖协议、内存、脚本等多个维度安全。

您可以根据需求对比选择灰盒与黑盒测试,此产品为后付费,测试完成后,根据测试的结果计费相应费用。

功能

手游安全测试 SR 通过提前挖掘游戏业务漏洞,并提供解决方案,杜绝游戏外挂损失。

漏洞挖掘

风险分析

熟悉游戏,进行风险分析,设计测试风险点。

挖掘漏洞

安全测试专家分组进行安全渗透测试,提交漏洞。

  • 漏洞类型:包含服务器宕机、盗刷钻石、无敌秒杀、全屏攻击、游戏加速等40多种漏洞,不同游戏类型不一样。

  • 测试维度:游戏通信协议、服务器健壮性、客户端函数安全、脚本逻辑安全、内存安全、静态资源安全、变速测试等。

报告汇总

汇总游戏风险评估结果和漏洞,发送测试报告,查看测试报告。

测试说明

对游戏进行深度风险分析和漏洞挖掘,覆盖全量游戏功能,并提供安全漏洞修复方案。

  • 支持 Unity3D 和 UE 引擎开发的游戏。

  • 无需提供游戏协议结构文件。

  • 耗时15个工作日。

场景和架构参考

场景痛点

30%+的手游正在遭受外挂的严重危害,47%+玩家曾遇到外挂,手游行业每年因外挂正遭受45亿损失。外挂篡改游戏正常数值,高价值道具肆意盗刷,极大地损坏游戏公平性,迫使正常玩家流失,游戏厂商品牌口碑荡然无存。

我们提供的服务

漏洞检测

WeTest 提供手游安全测试,连接腾讯安全测试专家,帮您提早揭露游戏外挂风险,检测支持 Unity3D、 Cocos2D 等主流引擎,覆盖协议、内存、脚本等多个维度安全。

打击外挂

项目上线时间紧迫,无暇修复漏洞,或漏洞难以修复时,我们为您提供手游防外挂工具,针对葫芦侠等通用修改器,变速器,一经发现,立即闪退,精确处罚全面覆盖各类变种,依托腾讯游戏十年经验,精准判罚,严防误判。

产品优势

1. 预知风险

预知风险并修复
提前挖掘漏洞,并提供修复方案,让外挂无机可乘。

与安全加固的区别
一般安全加固产品都是提高外挂制作门槛,不会从根本上消除漏洞和外挂。该产品是直接找到漏洞并修复,让外挂无机可乘。

与 App 安全扫描的区别
游戏安全扫描,不仅通过智能自动化工具扫描,还与游戏具体的玩法和功能紧密相关,理解游戏的功能后,分析正常功能背后的作弊点,找到能够通过非正常途径的获益点。

2. 专注游戏

支持 Unity3D、UE4、Cocos2D 等主流引擎的游戏,从游戏通信协议、客户端函数安全、脚本逻辑、内存安全、静态资源安全等多个维度挖掘业务安全漏洞。

3.专家团队

工程师来自腾讯 IEG 手游漏洞测试团队,具有极为丰富的实战经验, 曾服务过腾讯自研、累积服务产品版本700+,使用行业独创渗透测试方案提供专业级服务。

4. 星级标准

腾讯游戏6星级质量标准,获得与《王者荣耀》、《穿越火线-枪战王者》、《龙之谷》等腾讯手游同等测试服务品质。

5. 降低成本

按效果付费,无漏洞,不收费。

6. 方便安全

无需接入 SDK,对游戏本身无影响;保证产品高度私密性,不公开任何漏洞细节。

产品功能

1. 漏洞挖掘

风险分析
熟悉游戏,进行风险分析,设计测试风险点。

漏洞挖掘
安全测试专家分组进行安全渗透测试,提交漏洞。

  • 漏洞类型:包含服务器宕机、盗刷钻石、无敌秒杀、全屏攻击、游戏加速等40多种漏洞,不同游戏类型不一样。查看更多漏洞类型。

  • 测试维度:游戏通信协议、服务器健壮性、客户端函数安全、脚本逻辑安全、内存安全、静态资源安全、变速测试等。

报告汇总
汇总游戏风险评估结果和漏洞,发送测试报告。查看测试报告。

2. 灰盒与黑盒测试说明

漏洞挖掘,包含两种测试方式:灰盒测试、黑盒测试。根据您的情况进行选择。

灰盒深度测试

  • 对游戏进行深度风险分析和漏洞挖掘,覆盖全量游戏功能,并提供安全漏洞修复方案。

  • 支持所有游戏。

  • 需产品方提供游戏协议结构文件。

  • 耗时5-8个工作日。

黑盒深度测试

  • 对游戏进行深度风险分析和漏洞挖掘,覆盖全量游戏功能,并提供安全漏洞修复方案。

  • 支持 Unity3D 和 UE 引擎开发的游戏。

  • 无需提供游戏协议结构文件。

  • 耗时15个工作日。

场景一

在开发阶段,或者不删档测试前1-2个月,此时测试出游戏的漏洞,减少漏洞的修复成本,在上线后游戏更加安全无忧。
www.ksyuwei.cn

场景二

游戏正式运营,版本更新。一个大的新版本发布时,也有可能发现较严重漏洞。
www.ksyuwei.cn

手游安全风险项风险解释风险等级
服务器宕机破坏服务器进程或造成异常,停止游戏服务致命风险
刷钻石可无限量获得游戏代币,不用再进行充值致命风险
刷属性可无限量获提升角色各种属性值致命风险
无敌角色永久免受伤害致命风险
秒杀伤害无限大,一招击毙对手致命风险
全屏攻击攻击距离无限延长致命风险
刷道具可无限量获得游戏道具致命风险
刷游戏币可无限量获得游戏币致命风险
加速修改提升移动、攻击速度高危风险
技能无 CD去除技能冷却时间,可无间隔释放高危风险
攻击必爆每次攻击 100% 暴击高危风险
无限闪避100% 闪避敌人攻击高危风险
无限回血快速无限量回复生命值高危风险
无限 HP可无限量提升生命值上限高危风险
无限 MP可无限量提升魔法值上限高危风险
弱化怪物使怪物无法移动,无法攻击,或弱化怪物攻击力高危风险
飞天遁地在空中或地面以下移动,一般在 FPS 游戏中出现高危风险
瞬移向指定坐标点瞬间移动高危风险
隐身角色永久隐身高危风险
全图显示消除地图阴影,显示全地图玩家的动向,一般在Moba游戏中出现高危风险
透视透过障碍物看到后面,一般在 FPS 游戏中出现高危风险
冒充他人/盗号登录其他玩家的号、冒充他人执行游戏内任意操作高危风险
VIP 破解非 VIP 获的 VIP 高级福利高危风险
内购破解使用未拥有、未购买的角色、宠物、卡牌等道具高危风险
越权踢人成员踢出帮主或队长,Moba 游戏任意踢人高危风险
强制投降强制性使对手投降,直接获得胜利,一般在 Moba 游戏中出现高危风险
P2P 交易绑定物品交易绑定的物品,一般在 MMORPG 游戏中出现高危风险
减速修改降低游戏运行速度,使游戏难度降低,一般在跑酷类游戏中出现中危风险
Buff 强化加强 buff 增益效果,延长 buff 持续时间中危风险
修改关卡摆件移除关卡中所有障碍物,降低关卡难度,一般在跑酷类游戏中出现中危风险
无限冲刺/飞行永久保持冲刺飞行的状态,一般在跑酷类游戏中出现中危风险
超远距离攻击超远距离攻击对手,破坏游戏平衡中危风险
无限传送不限次数传送到任意位置中危风险
无限复活/无消耗复活不限次数,不消耗金钱或物品复活中危风险
无限弹药攻击不消耗弹药,一般在 FPS 游戏中出现中危风险
主动释放被动技能被动技能不用触发,直接主动释放中危风险
关闭阻挡无视障碍物的阻挡,穿越一切障碍物中危风险
草丛可见显示草丛内的敌人,一般在 Moba 游戏中出现中危风险
自动瞄准自动识别敌人,快速自动瞄准,一般在 FPS 游戏中出现中危风险
无后坐力移除任意枪械的后坐力,一般在 FPS 游戏中出现中危风险
秒换弹夹瞬间完成更换弹夹的动作,一般在 FPS 游戏中出现中危风险
强制交易/强制组队强制与他人交易,强制加入他人的队伍中危风险
远程任务/仓库远程交接任务,远程使用仓库功能,一般在 MMORPG 游戏中出现中危风险
漏洞等级定级标准
致命级1. 拒绝服务漏洞。 包括但不限于导致服务器端游戏服务进程崩溃、无响应,或导致游戏某个核心玩法无法正常使用的远程拒绝服务漏洞。
2. 无限量盗刷游戏代币的漏洞。 以任意方式无限量刷取游戏代币,包括但不限于钻石、元宝、点券、绑定点券的漏洞。
3. 无限量盗刷游戏高价值物品的漏洞。 以任意方式无限量刷取高价值物品,包括但不限于游戏金币,可交易流通的物品,代币商店中贩卖的物品,所有可无限且永久提升人物总战斗力的物品、或可导致游戏拍卖行物价崩溃的物品的漏洞
4. 导致全服排行榜数据明显异常的漏洞。 包括但不限于以任意方式达到全服任意排行榜前 3 名,造成数据明显异常影响游戏口碑的漏洞。
5. 可应用于 PVP 模式或游戏核心玩法中的外挂漏洞。 外挂漏洞类型包括但不限于无敌、秒杀、技能无 CD、全屏攻击、变速、飞天遁地、瞬移、隐身、越权踢人、强制投降、全图显示、100% 暴击、快速通关等对游戏平衡性造成严重破坏的漏洞。
6. 盗号漏洞。 以任意方式(不包含木马盗号)登录他人账号,并造成高价值物品转移或销毁,或直接删除他人账号中的游戏角色的漏洞。
7. 伪造系统身份的漏洞。 包括但不限于伪造系统身份在游戏内发送系统公告,或已系统身份在游戏聊天的系统频道中发送虚假消息的漏洞。
高危级1. 可应用于 PVE 模式或游戏非核心玩法中的外挂漏洞。 外挂类型包括但不限于无敌、秒杀、技能无 CD、全屏攻击、弱化怪物、加速、飞天遁地、瞬移、隐身、全图显示、100% 暴击、快速通关等一些游戏中正常无法实现的变态行为的漏洞。
2. 有限量刷取游戏代币的漏洞。 以任意方式刷取一定量的游戏代币,包括但不限于钻石、元宝、点券、绑定点券的漏洞。
3. 有限量刷取游戏高价值物品的漏洞。 以任意方式刷取一定量高价值物品,包括但不限于游戏金币,可交易流通的物品,代币商店中贩卖的物品,所有可以有限量永久提升人物总战斗力的物品的漏洞
4. 伪造其他玩家身份的漏洞。 包括但不限于伪造其他玩家身份进行世界聊天、交易、工会管理的漏洞。
5. 聊天刷屏漏洞。 快速发送聊天消息持续刷屏,导致聊天功能无法正常使用的漏洞。
6. 恶意攻击其他玩家账号,导致一部分游戏功能无法正常使用或造成游戏财产损失的漏洞。 包括但不仅限于使用垃圾邮件覆盖他人邮箱中带有附件的邮件,已任意方使令他人游戏客户端出现 100% 崩溃的漏洞
中危级以任意手段绕过游戏客户端或服务器限制,形成有异于正常的游戏行为,但影响较小,或收益甚微的漏洞。包括但不限于:屏蔽物品采集或技能引导的进度条、用户自定义输入内容错误显示或突破游戏限制、购买商品列表之外的物品等。
外挂危害详细描述
破坏游戏平衡使用外挂篡改游戏正常数值,迅速超过正常玩家在游戏中长时间的积累,极大地损坏游戏公平性。
缩短游戏寿命随着外挂介入,游戏数值异常,游戏制作者预先准备的装备、材料、关卡等版本内容被加速消耗,
高价值道具肆意盗刷。
丧失游戏乐趣玩家长期依赖于外挂的帮助,无法体验到游戏的乐趣与精彩,更不可能尽情地投入到游戏中。
游戏用户流失外挂玩家投入产出远高于正常玩家,游戏不平衡加剧,正常玩家权益受到破坏,被迫离开。
暗藏恶意病毒外挂程序内容得不到任何安全审核和保证,一般包含木马、病毒程序,盗取用户手机短信、银行卡
等资料,严重危害用户信息安全。
增加运营成本游戏服务器宕机,安全事故层出不穷,游戏客服、研发、策划、运营等角色疲于救火。
降低企业收益游戏难度变低,游戏竞技性下降,用户付费动力减弱,导致整体收益下滑。
品牌口碑受损外挂之所以对游戏的破坏巨大,是因为摧毁玩家心中最根本的信任感,随着外挂的病毒式传播,
游戏厂商品牌口碑荡然无存。


www.ksyuwei.cn

www.ksyuwei.cn


www.ksyuwei.cn

www.ksyuwei.cn

www.ksyuwei.cnwww.ksyuwei.cnwww.ksyuwei.cn

使用专家安全测试服务时,为何需要实名认证的企业账号?

企业账号实名认证是腾讯云平台用来检验申请人员是否为真正企业身份的重要方式,避免他人恶意冒名注册获取企业产品安全漏洞。

怎样使用专家安全测试服务,测试过程要多久?

从腾讯云平台进入专家安全测试功能页,通过预约渠道提交测试需求,平台负责人将在 1 个工作日内联系您。测试时间一般是 5-8 个工作日。

为什么只需要提供 Android 平台的安装包,iOS 平台不用测试吗?

通常,手游客户端只有一套代码,通过游戏引擎跨平台技术编译分别生成 Android 和 iOS 的安装包,游戏客户端逻辑是完全一致的。
另外,安全测试会重点关注游戏服务器逻辑安全性,避免出现宕机、刷钻石、刷物品、无敌秒杀、变速等外挂漏洞,所以只需要在 Android 平台就可以进行全面测试。

通过腾讯云平台发现安全漏洞会公开吗?

腾讯云平台会对所有合作企业的漏洞进行严格的保密,包括漏洞的标题、简述及详情,更不会使用或暗指企业的漏洞来做宣传(企业已授权除外)。

从哪里获得安全测试报告?

测试完成后腾讯云平台会将报告以邮件的形式发送给您,您也可以通过腾讯云平台的个人中心查看测试报告。

专家安全测试由谁负责测试工作,具体包含哪些内容?

由 SR 安全雷达团队负责,团队内成员均是腾讯正式员工,服务过腾讯 120 款手游的安全专项测试,具备极为丰富的实战经验。
包含游戏风险分析,协议风险分析与协议安全测试、函数风险扫描与函数动态测试、内存安全测试、游戏脚本测试、变速测试、拒绝服务攻击扫描。

游戏在什么阶段采购专家安全测试服务比较好?

游戏研发阶段,不删档开启之前 1-2 个月。

我的游戏中已经接入了安全加固组件,是否还有必要进行安全测试?

需要进行安全测试。安全测试主动挖掘游戏业务内漏洞,从根本上修复漏洞。
安全加固组件提升游戏被破解的门槛,适用范围有限,由于具体实现原因,对使用 Unity3D 引擎和 UE 引擎研发的游戏保护效果差。


  • 名称: 手游安全测试SR
  • 关键词: 手游安全测试,手游安全测试SR,腾讯云