最近捕鱼游戏比较火,去几个平台玩过几次 ,发现都存在可以刷金币的问题。 漏洞存在于,鱼的行动路径是保存在客户端的,炮弹发出去得不得金币也是客户端判断后发回服务端的 ,服务端也没有其他机制判断 ,就将金币直接入库 。

目前发现三个版本的捕鱼游戏:

其中一款,path 文件直接暴露在外面,可以轻易的被替换;

网狐的深海捕鱼游戏刷金问题 工具 游戏 资源 棋牌技术  第1张

另一款用自带的打包方式打包 ,但是打包工具很容易在网络上得到;

网狐的深海捕鱼游戏刷金问题 工具 游戏 资源 棋牌技术  第2张

还有一款使用HGE的,游戏资源用 zip 打包加密,游戏又用了强壳保护 ,dump 游戏以后,发现解压密码也被加密,这些地方做的很不错 ,可惜在HGE暴露了一个漏洞,使所有保护功亏一篑;

 

目前能想到的解决方法

(1)path文件个头比较小,房间人数不多的话 ,可以考虑放到服务端,动态发送

(2)zip打包,游戏做保护也还不错 ,最好客户端再做一些验证能校验文件是否被替换了

未经允许不得转载! 作者:棋牌源码网,转载或复制请以超链接形式并注明出处棋牌源码网

原文地址:《网狐的深海捕鱼游戏刷金问题》发布于:2021-08-06