Анализ безопасности сетевых Unity3D игр в VKontakte

Все блоги / Про интернет 4 июня 2014 396

Привет. Надеюсь этот пост не приведет к плохим последствиям и все будет хорошо и мир наполнится светом! Почему все настолько плохо в социальных unity3d играх ВКонтакте?

Выдались свободные выходные и посвятил я их одному интересному делу — выявить слабые места в безопасности приложений. Т.к. работаю в основном с юнити, то брал игры, созданные на этом движке. Сразу замечу, что я не профессионал и опыта подобного анализа у меня не было. Имелись знания о том, как происходит авторизация пользователя и проверка валидности его id(в документации вк есть) + c#(без него никак). В руки попали 4 приложения, и во всех четырех нашлись дыры, причем в последнем такая, что можно было получить доступ к "серверным методам". Как это получилось?

Читать дальше →

Источник: Хабрахабр

Оцените публикацию

предыдущая статья

следующая статья

Похожие публикации

Как я участвовал в bug bounty от Xiaomi и что мне за это было

— У нас дыра в безопасности. — Ну, хоть что-то у нас в безопасности. — Айфоны, вон, каждый год ломают, и ничего. Я нашел эту ошибку случайно. Уверен, что ни один тестировщик и не подумал бы пойти таким путем — это настолько не очевидно, дико и непредсказуемо, что только случайность помогла мне

подробнее »

28 сентября 2017

[Из песочницы] Уязвимость в FindFace позволяющая получить id пользователя без оплаты

Уже всем достаточно хорошо известен сервис FindFace для поиска пользователя контактика по фотографии. С недавнего времени в системе было введено условие, при котором получить ссылку на профиль можно было только заплатив денежку. Под катом небольшой хак для снятия этого ограничения и немного о том,

подробнее »

9 июня 2016

Как мы проверяем безопасность мобильных приложений, и почему это непросто. Безопасность в Яндексе

Меня зовут Юрий Леонычев. Я работаю в службе информационной безопасности Яндекса, где разрабатываю интересные сервисы, комбинирующие методы машинного обучения с анализом BigData. Как вы знаете, у Яндекса большое количество мобильных приложений. И если безопасностью наших веб-приложений мы

подробнее »

31 июля 2014

[Из песочницы] Про мобильную приватность и Open Source

Привет Хабр. Не так давно у меня появилось желание написать целую серию статей о безопасности, приватности и анонимности в интернете. Я не хочу тратить время читателей, в очередной раз описывая весьма плачевную ситуацию со сбором персональных данных, все это и так уже было сделано до меня, поэтому

подробнее »

14 февраля 2019

Психология на службе информационной безопасности. Склонность к преступлению

Говорят, что лучшее сражение – то, которого не было. Применительно к задаче обеспечения ИБ можно было бы сказать, что лучшая утечка – та, которая не случилась. Для того, чтобы это стало правдой, службе безопасности нужно действовать на опережение и уметь выявлять инсайдеров ещё до того, как они

подробнее »

7 декабря 2016

История разработки игры Heroes of Scene — идея, поиск команды и запуск в Steam

Вместе с Unity VC публикует истории разработки игровых проектов, созданных на базе популярной технологии. Расскажите о своём кейсе, чтобы попасть в рубрику.Создатель компьютерной и мобильной стратегии Heroes of Scene Олег Городишенин рассказал VC о том, как родилась идея игры и как велась её

подробнее »

8 сентября 2015