我开发了一款简单易用的在线游戏。
攻击它的一种方法是欺骗。
我想发送一个包含用户名和分数的帖子请求。 现在我们只关注发送数据,接收数据并进行处理。 (=>游戏内没有反热或SQL注入等)
问题是: 我有什么可能保护这个流程客户端? baddies如何劫持一个帖子请求,所以他们可以欺骗它? 什么是保护请求内容的解决方案?
问候
答案 0 :(得分:1)
你无法阻止虚假的高分被提交。 您可以让最终客户端以数字方式对高分进行签名,但客户端可以进行修改,这样就无法实现。 你能做的最好的事情就是获得高分,并伴随着游戏的完整游戏。这样,可以审核游戏中的游戏以查找可疑/错误行为。
答案 1 :(得分:0)
您不能100%保证您的通信安全,但您可以更难以使攻击者的工作。
如果你加密游戏中的分数并将(加密的)分数发送到服务器,你就会击败刚刚下载Wireshark并学会改变数字的大多数脚本小子。
然而,坚定的攻击者总是可以对您的游戏进行逆向工程以确定加密密钥,甚至可以将调试器附加到游戏中并在发送之前修改其得分。
有很多方法可以让这项工作变得更加困难,但最终它会平衡您希望游戏的安全性以及您愿意投入多少时间和精力。