网页游戏的安全问题，在刚入职接触的时候，写过两篇比较浅显的文章《网页外挂防御有感》和《网页游戏常见外挂原理及防御》。算算时间，距离现在也有一年多了，虽然页游安全总体上并没有显著变化，没有新的攻击方法，也没有新的防御方法，我个人的工作重心也由页游安全转向了手游安全，但出于完美主义的偏执，还是希望写一篇覆盖完整的页游安全文章，希望能给页游产业一点帮助。

大纲

—————————————————————————————————————————————————-

一、协议安全(swf安全)：自动封包 (重点)

二、自动游戏+加速

三、内存安全：内存修改

四、存档安全：存档修改

五、帐号安全/充值安全：盗号/低价充值

正文

—————————————————————————————————————————————————-

一、协议安全(swf安全)：自动封包 (重点)

页游，最最核心的就是客户端(swf)与服务端的游戏通信了。游戏通信产生的封包，内容是否可识别，可篡改，可重放，处理逻辑是否有漏洞，都决定了这款游戏是否有重大的漏洞。

我们知道页游前端和后台的通信一般有两者方式，一种是http连接，一种是socket连接，前者适用于小型页游，例如内嵌在QQ平台的QQ农场，后者适用于大型页游。

不同的通信方式，产生的数据包格式也不一样，像HTTP AMF的可以使用charles来抓包查看，像sockets的可以使用WPE抓包查看。

以socket 通信为例，协议采用自定义格式，一般由两部分组成，包头与包体，包头一般是固定长度，包体为可变长度。包头一般是一些基本信息，例如包长度，版本号，命令号，用户ID，序列号等;包体就是操作命令对应的接收参数，参数个数不同，参数类型不同会导致包体长度不同。

只要摸清楚协议算法，即包是如何生成的，就可以构造数据包与服务器自由通话，这一后果是非常严重的。自由通话意味着你不需要老老实实的在客户端操作，一条数据包就能代替你一连串的操作，例如发送一条数据包完成一个任务，常用于快速升级，淘宝上的页游代练绝大多数都是采用的这种方式;自由通话更意味着你可以绕过客户端的逻辑判断，传任意参数给服务端。

说到这里，你可能觉得只要服务端能正常处理来自客户端的参数，不出逻辑错误，不出配置错误，就万事大吉。这种想法很常见，例如上海宝开公司的某个开发就说过，我们的游戏逻辑判断都在服务端，我们没有外挂。我推测这个人应该不怎么上外网。