五、帐号安全/充值安全：盗号/低价充值

帐号安全和充值安全不仅页游如此，所有游戏，甚至所有线上应用都如此。如果说开是个大的话题，我仅仅介绍页游中常见的威胁与防御。

(一)、帐号安全

威胁：

1.外挂盗号

例如下面号称可以无限刷取游戏货币的外挂，实际上在用户输入帐号和密码后，将信息发送给盗号者的邮箱。

在游戏中获取信任，以为对方代练等好处为引诱盗取帐号。或通过获取个人信息，从密保问题下手进行盗号。

3.从游戏的帐号管理中心等web入口下手，进行盗号。

例如登录模块没有验证码或验证码实现机制漏洞，使用字典扫描批量盗号

4.传输嗅探盗号

5.利用帐号申诉流程漏洞进行盗号

例如有些申诉打分机制存在提供多次充值证明就可以取回密码的方式，先充值，再盗号。

防御：

1.安全意识宣传

2.弱口令检测

3.异地登录提醒

4.登录行为监控

5.设计好帐号相关功能，例如申诉流程

(二)、充值安全

威胁：

1.社工

在网上发帖慌称发现充值漏洞，骗取贪心网友给自己指定的帐号进行充值

使用快过期的手机废卡进行充值，大多数的充值不会再次检测手机卡是否存活状态

3.利用宽带充值漏洞

盗取宽带帐号进行充值，由于不会实际影响游戏收益，顶多会出现受害者损失严重的情况下投诉带来的不好影响。

4. 真正的充值漏洞

比如说广泛采用的点卡充值，可能存在点卡被重放使用的漏洞

防御：

1.安全意识宣传

2.充值相关功能的安全检测

结论

总的来说，页游的各种外挂问题很普遍，端游有的它都有，但安全防御不如端游，这很大程度上是因为页游的开发周期短，生存周期也短，例如较长的神仙道游页才两年了，甚至大多数页游，只是为了短时间洗用户抢钱，因此不会投入人力物力在外挂防御方面，或许第三方的安全服务会有点市场吧，比如说他们乐意购买支持多项目的AS混淆工具。总之，页游是个浮躁的市场，只有生命周期强大的游戏，才会注意到外挂问题。