當移動網際網路滲透到千家萬戶，與工業控制、智慧交通、實時社交、休閒娛樂緊密結合時，應用安全就變得尤為重要。

尤其在網路強相關的APP流行年代，當APP應用客戶端上傳與獲取資訊，大多通過介面在伺服器雙向通訊，這很容易被第三方獲取，導致資料盜取、介面盜刷，致使使用者資訊洩露，嚴重情況下將出現財產損失。而對於移動遊戲而言，外掛工具、系統功能漏洞、伺服器宕機漏洞等問題頻發，也將大幅影響遊戲內平衡，使使用者體驗下降。

可以說，無論是移動應用還是遊戲，發生安全問題就如同開啟“潘多拉魔盒”，不但可能危害使用者切身利益，也同樣會造成企業的損失。與此同時還會發生企業信譽危機，品牌口碑大幅下滑等一系列問題，最終使企業面臨敗局。

近期，騰訊安全聯合實驗室就曾在《2018上半年網際網路黑產研究報告》指出，移動端黑產規模巨集大，惡意推廣日均影響使用者超過千萬。在瞬息萬變的數字經濟時代，資訊保安已不只是一種基礎能力，更是企業應用生產的驅動力之一，是所有“0”前面的“1”。這需要開發團隊提高產品安全配置，更需要專業級安全服務加以助力。

應對市場的安全需求增長，2018年10月26日，在騰訊WeTest三週年之際，將全面升級旗下安全服務，除了一向擅長的手遊安全服務外，也將首次推出移動應用安全服務。通過構築全新安全梯隊，幫助開發者專注安全，提升產品品質。 

一、優化遊戲安全解決方案：全力攻克外掛、系統安全漏洞、伺服器安全漏洞三大難題

在移動APP中，遊戲成為安全漏洞的重災區。

目前，在超過千億元（人民幣）的手遊市場中，有80%的遊戲APP存在至少1個高位，手遊行業每年因外掛、客戶端&伺服器漏洞、渠道推廣作弊、不良內容傳播等行為，遭受著超過幾十億的損失。

但對於遊戲開發者來說相比遊戲的其他問題，由於安全測試的門檻較高，經常會被手遊開發者忽略。一些手遊開發者會抱有“等出現了問題之後再去修復”的想法，而等到問題出現之時，往往為時已晚，安全問題已對遊戲的收入、口碑已經產生了很大的影響。

因此，在三週年之際，騰訊WeTest遊戲安全團隊重新啟航，依託於騰訊手遊安全金牌團隊10餘年經驗，針對上述四大遊戲安全痛點，面向全生命週期推出手遊安全解決方案。

騰訊WeTest手遊安全解決方案

• 阻斷外掛侵害

談到遊戲安全，外掛成為最猖獗的隱患之一。

在目前的移動遊戲市場上，正有30%+的產品正在遭受外掛的嚴重危害。外掛篡改遊戲正常數值，使部分高價值道具可肆意盜刷，極大地損壞遊戲公平性，迫使正常玩家流失，遊戲廠商品牌口碑蕩然無存。

30%+的產品正在遭受外掛的嚴重危害

對此，騰訊WeTest針對手遊客戶端推出全方位安全工具矩陣，通過手遊加固、手遊反外掛、客戶端靜態掃描、手遊滲透測試等工具，防禦對遊戲客戶端的惡意攻擊、破解問題。

在技術優化層面，SR手遊安全測試在騰訊WeTest重磅上線，該款手遊滲透測試服務包含黑盒測試和灰盒測試兩大測試方案。

黑盒測試，針對Unity3D、虛幻系列等市場主流引擎，完全模擬外網玩家和外掛工作室，從攻擊者的角度對遊戲進行逆向分析和破解，主動發現和挖掘系統中的弱點、技術缺陷和安全漏洞；

另一方面，通過灰度測試，騰訊WeTest將利用企業提供遊戲協議結構檔案，接入安全測試工具，進行缺陷放大和風險性評估，提前暴露遊戲中潛在的安全風險。

此外，針對移動遊戲開發者深惡痛絕、非常棘手的外掛隱患，騰訊WeTest接入MTP反外掛與手遊加固方案，通過接入防外掛SDK，主動防禦市面上通用修改器與變速器、精準判罰，一經發現，立即閃退。

• 發現伺服器漏洞

外網玩家和外掛工作室常出現“技術控”，對遊戲進行逆向分析與破解，進行代幣盜刷等惡意攻擊，導致遊戲伺服器宕機，安全事故層出不窮。久而久之，不僅耗費遊戲客服、策劃、運營大量精力，更會縮短遊戲壽命。

當遊戲中道具購買數量變大時，將導致伺服器宕機

因此，騰訊WeTest對症下藥，重點接入SR安全團隊的手遊宕機漏洞檢測服務，為遊戲定製模糊測試工具，執行自動化宕機漏洞檢測，大幅降低人力監測壓力。

• 阻斷不良內容傳播

隨著內容驅動的資訊戰愈演愈烈，內容已經成為左右玩家體驗的重要標準之一。然而隨著遊戲玩法逐漸複雜化、社交化，本來用於玩家之間互動的各類資訊也被黑產鑽了空子。

騰訊WeTest接入的MTP內容安全方案，依託人工智慧技術，精準識別遊戲中海量玩家暱稱、簽名、房間名、聊天內容以及頭像等文字與圖片資訊，徹底阻斷不良分子將色情、廣告、涉政、暴恐四大類別資訊非法植入。

文字內容安全監測應用場景

• 防止渠道推廣作弊行為

在遊戲營銷推廣期間，一些渠道會對遊戲使用作弊手段進行惡意刷量，導致部分廠商損失百萬，白白浪費市場費用。

為滿足遊戲廠商反渠道作弊的需求，騰訊WeTest接入MTP渠道營銷反作弊與iOS小額支付監測方案，全面監控渠道推廣作弊行為，尤其針對新遊戲上線、釋出新版本、重要活動等影響遊戲生命週期的重要時間節點提供詳細資料報表，真正挽回推廣損失。

渠道營銷反作弊工具樣例報告

二、構築移動應用安全解決方案：客戶端、伺服器、認知三大防護，治標又治本

目前，在移動應用的客戶端與網路伺服器安全問題中，反向破解、盜版仿冒、資訊洩露、傳輸資料洩露等隱患已經成為首要問題。尤其對於熱門的金融、交通出行、社交等二級領域來說，倘若遇到惡意攻擊，不僅會導致應用出現支付隱患，更會造成大量使用者資料洩露與財產損失。

據騰訊雲的統計，市面上金融APP每款產品平均存在65個漏洞，且23%為高危漏洞

因此，順應雲端大平臺的開放，除了加強遊戲安全配置外，騰訊WeTest將業務拓展至移動應用，在APP客戶端安全、網路安全、認知安全樹立三大防護罩，幫助開發者在應用研發與運營全生命週期內令安全防護最大化。

WeTest應用安全解決方案全景

• 保衛App客戶端安全

隨著移動網際網路行業高速迭代，產品研發人員傾注了大量精力開發出的產品，正遭受著盜版、篡改、二次打包的侵害，嚴重損害著專案利益。同時，本來用於保護應用核心原始碼不被竊取的加固技術，竟成為很多病毒應用保護自己的惡意程式碼不被安全軟體發現的手段。

對此，騰訊WeTest安全團隊針對Android或iOS不同開發渠道，對移動應用客戶端推出從安全檢測到安全防護的雙重防護方案。

其中，安全檢測環節，WeTest不但提供程式碼掃描、漏洞、病毒、敏感詞等靜態資源掃描，同時也提供模擬使用者行為的動態檢測服務，更貼近實際業務需求。

安全防護解決方案

而安全防護中，則包括了“客戶端加殼”和程式碼級的“原始碼混淆”兩種方案。其中客戶端加殼就是我們平時接觸比較多的安全加固服務，而WeTest提供的加固服務再產品研發期幫助開發者對標不同產品能力進行加殼保護、so庫保護、防二次打包、防注入，實現定製化應用加固，最大程度防止應用核心程式碼邏輯被逆向分析，保護演算法及智慧財產權。這樣一來，軟體開發的管理人員即可便捷、準確地統計和分析當前階段軟體安全的風險、趨勢，跟蹤和定位軟體安全漏洞。

而原始碼混淆，則通過對C/C+/OC/OC++等原始碼做邏輯分支混淆和控制流平坦化，實現對原始碼及業務邏輯的隱藏加密，可用於協議、金鑰生成，以及自研演算法等核心程式碼的自動化混淆保護。

原始碼混淆效果對比圖

• 保衛移動應用伺服器安全

當然，僅僅保證APP客戶端的安全，還不足以抵抗所有隱患。隨著色情、惡意應用分發等最賺錢的病毒迅速滋生，這些病毒普標標配雲載入攻擊技術來實現利益最大化，網路強相關的APP更應做到網路安全全面防護，規避傳輸資料洩露，降低使用者支付風險。

對此，騰訊WeTest推出WEB通用滲透與業務邏輯雙向的滲透測試服務。

WEB通用滲透層面，WeTest不斷抵禦注入攻擊、XSS跨站指令碼攻擊、檔案攻擊，保護協議與元件安全。

業務邏輯層面，WeTest對身份認證、業務資料、使用者輸入、驗證碼、業務授權&介面安全實時監測，針對Android與iOS 不同特徵，支援靜態分析與動態監測雙重引擎。從程式碼邏輯、資料儲存、網路通訊等方面，快速準確地定位APP的安全漏洞、判斷是否存在惡意、違規行為並提供相應的整改建議。

• 重塑認知安全：幫助開發團隊樹立安全意識

在企業中，操作人員的安全意識不足同樣也會造成一些黑客的可乘之機。因此，騰訊WeTest推出安全諮詢、安全培訓、整包服務等業務安全專案。可以整體提升企業員工的安全意識，維護企業業務安全。

三、從技術量變達成品質飛躍，WeTest將與開發者一同專注安全攻堅戰

2018年10月26日，騰訊WeTest將正式迎來三週歲生日。三週年慶典期間，只要在WeTest平臺註冊的使用者，均可免費體驗標準相容、雲真機、壓測大師、手遊安全掃描、應用安全掃描等五大服務，更可享用總價值最高達45100元（人民幣）的代金券。其中包含手遊安全研發版20000元、應用安全體驗包8000元、應用加固安卓專業版3600元等安全類服務代金券。旨在以低價格、高品質為目前的遊戲與移動應用產品護航，以此促進整個行業生態良性發展。

騰訊WeTest三週年感恩回饋活動

十年探索，三年同行，基於騰訊系遊戲產品出發，騰訊WeTest逐漸在APP的安全防護上積攢經驗，目前遊戲安全解決方案已應用於《九州天空城3D》《穿越火線：槍戰王者》《夢幻誅仙手遊》等多款星級遊戲產品，覆蓋超過200個安全風險專案與3700多個漏洞專案。

從遊戲到應用，WeTest的安全攻堅之路還將持續。在未來， WeTest將在如團購電商、交通出行、移動支付等更多熱門應用場景提供安全服務。專注安全，以品質應萬變。

如果使用當中有任何疑問，歡迎聯絡騰訊WeTest企業QQ：2852350015