近日,微信带来了小游戏「跳一跳」。它的玩法很简单,用蓄力控制游戏人物在各种「箱子」间跳跃,考验玩家的控制能力。但一些网友为了刷分,纷纷用了「高分神器」——外挂。
最有名的外挂要数「直接伪造 POST 请求刷分」。这个外挂的原理很简单:当游戏结束后,游戏成绩会从个人手机发送到服务器,问题发生在服务器没有对客户端发送的数据进行验证,也就是说,无论用户发送什么样的成绩,服务器都会相信。这样造成的结果是,只要用户使用黑客技术伪造一个分数,并「告诉」给服务器,你便获得了这个分数。
这个问题不是第一次发生,早在 2011 年前后,QQ 空间推出了一系列的小游戏,在那时,也有人利用类似原理进行刷分。
事实上,类似的漏洞还会带来更严重的灾难,如果支付数据被拦截并修改,很有可能造成无论充值多少,「只需支付 0.01 元」的情况。据澎湃新闻报道,2016 年,一个大二在校生利用某网络购物平台的支付漏洞,把支付指令中的付款数据修改成 0.01 元,就能用 1 分钱购买大额话费了。
据极客公园了解,微信小游戏「跳一跳」的源代码下载漏洞已经被修复;截至发稿前大约 5 小时,网友发现上文中提到的「直接伪造 POST 请求刷分」漏洞也已经失效了。
但是,还有一类外挂不容易被抓到,那就是模拟用户操作的脚本外挂,程序会判断两个格子间的距离,计算按压时间,进行跳动。网络上流传的主要有两种:一种是半自动的,用户手动定位起跳点和落地点,成功率很高,效率略低;另外一种是全自动的,成功率略低,但无需人工操作。
不过,使用了外挂,便没有什么游戏的乐趣了,人们需要的真的只是个排名吗?无数的游戏已经毁于外挂之手,人们需要的其实是游戏的乐趣。
同时,微信官方团队告诉极客公园,针对目前出现的外挂,微信跳一跳团队已经在进行相关打击,确认为使用外挂的,将会清除该用户的游戏分数;同时,微信友情提示大家,使用外挂会影响你在游戏中的真实排名,一些恶意外挂软件不排除会有其他风险,请耐下心来,慢慢体验游戏的乐趣。
头图来源:视觉中国
责任编辑:双筒猎枪
领取专属 10元无门槛券
私享最新 技术干货