问题标签 [code-injection]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
9 回答
43511 浏览

windows - 如何防止 DLL 注入

所以前几天,我看到了这个:

http://www.edgeofnowhere.cc/viewtopic.php?p=2483118

它介绍了三种不同的 DLL 注入方法。我将如何阻止这些过程?或者至少,我如何防止第一个?

我在想也许一个环 0 驱动程序可能是阻止这三个驱动程序的唯一方法,但我想看看社区的想法。

0 投票
1 回答
2493 浏览

ejb - 关于 EJB 和资源注入的问题

我在让 JBoss 将环境变量值注入 bean 时遇到问题。这是我的豆类:

我希望 JBoss 注入 managerFile 值。这是我的 ejb-jar.xml:

但是当我将耳朵部署到 JBoss 时,我收到了以下错误消息:

09:07:40,495 WARN [ResourceHandler] 未注入 managerFile,未找到匹配的 enc 注入器 env/managerFile

我正在运行 JBoss 4.2。我究竟做错了什么?

0 投票
6 回答
638 浏览

c# - 有没有办法防止我们的应用程序被分析或注入?(C#)

有大量用于 C# 程序集的分析器和静态代码分析器。

只是想知道有没有什么方法可以防止被分析,因为它确实让我在被剥夺时感到有些紧张。

我已经搜索了整个互联网和stackoverflow。我的奇迹似乎没有。

我所拥有的只是一些更可怕的标题,比如这些(对不起,新用户不能发布超链接,请谷歌它们):

“程序集操作和 C#/VB.NET 代码注入”

“如何将托管 .NET 程序集 (DLL) 注入另一个进程”

是我太担心还是怎么的?

顺便说一句,我们正在使用 C# 构建一个新的 winform 客户端,供银行客户进行在线交易。我们不应该以 winform 的方式执行此操作,还是应该使用 Delphi、C++ 等其他语言?目前我们有一个用 C++ Builder 构建的 winform 客户端。

0 投票
1 回答
1762 浏览

c# - 将代码注入本机进程

您好,我在使用 C# 代码注入进程时遇到了麻烦。我正在使用 Mike Stall 的 CreateRemoteThread 方法。但是,在尝试注入进程时,我得到了 Last Win32 Error 1008。

(顺便说一句。我尝试注入 DLL(它运行我的代码)但我没有成功。我会发布代码链接,但我不能)

0 投票
7 回答
96332 浏览

javascript - 如何防止用户生成的 HTML 中的 Javascript 注入攻击

我正在保存用户提交的 HTML(在数据库中)。我必须防止 JavaScript 注入攻击。我见过的最有害的是style="expression(...)".

除此之外,相当数量的有效用户内容将包括特殊字符和 XML 结构,因此我希望尽可能避免使用白名单方法。(列出每个允许的 HTML 元素和属性)。

JavaScript 攻击字符串示例:

1.

有没有办法阻止这样的 JavaScript,并保持其余部分完好无损?

到目前为止,我唯一的解决方案是使用正则表达式来删除某些模式。它解决了案例 1,但没有解决案例 2。

该环境本质上是 Microsoft 堆栈:

  • SQL 服务器 2005
  • C# 3.5 (ASP.NET)
  • JavaScript 和 jQuery。

我希望阻塞点是 ASP.NET 层——任何人都可以制作一个糟糕的 HTTP 请求。

编辑

谢谢大家的链接。假设我可以定义我的列表(内容将包括许多数学和编程结构,所以白名单会很烦人),我还有一个问题:

什么样的解析器可以让我只删除“坏”部分?坏的部分可能是整个元素,但是那些驻留在属性中的脚本呢?我不能随意删除< a hrefs >

0 投票
4 回答
1527 浏览

javascript - 在 jQuery 中注入 HTML 的元素中使用 Javascript

我正在尝试通过 jQuery 的 .load() 函数在远程加载(注入)的 HTML 文件中引用一些 javascript 文件。我试图在加载的 HTML 文件中使用的 javascript 文件已经包含在加载的 HTML 的父 HTML 页面中。

最初,我认为在加载的 HTML 中引用这些文件会很好,因为它包含在页面中,但它似乎不起作用。

谁能告诉我如何在注入的 HTML 文件中使用 javascript?

0 投票
7 回答
2836 浏览

php - 在 PHP 中清理用于数据库的用户输入

我有这个代码:

我试过这段代码来清理它:

但我得到了 mysql_real_escape 行的这个错误:

我在这里得到用户名,我不知道它是否足够安全:

谢谢

0 投票
3 回答
2915 浏览

.net - unity拦截和构造函数

我想在 Unity 中使用拦截,这是我的代码:

如果 T 是一个带有带参数的构造函数的类(一个空的构造函数),当我调用 Resolve 时会引发异常,否则它会起作用。如何拦截具有非空构造函数的类型?

更新

此代码有效,但如果我想使用带参数的构造函数怎么办?

我试过这个:

在我的代码中:

我回来了,和之前一样的例外......

0 投票
2 回答
3267 浏览

code-injection - 编写一个非常基本的调试器

是否可以在 Windows 下编写一个程序,该程序会在到达预定义地址时导致远程进程线程中断(在该线程中停止执行)?

我一直在尝试使用 Windows Debug API,但在设置断点方面似乎非常有限。DebugBreakProcess 函数看起来很有希望,但我找不到任何关于如何使用此 API 调用的示例。

0 投票
2 回答
1889 浏览

introspection - 用于 PowerBuilder 应用程序的 Spy++

我正在尝试编写一个工具来检查基于 PowerBuilder 的应用程序的状态。我在想的是像 Spy++(或者,更好的是,'Snoop',因为它存在于 .NET 应用程序)之类的东西,它可以让我检查一些基于 PowerBuilder 的 GUI 的对象树(和对象的属性)。

我已经对普通(基于 MFC)的应用程序和 .NET 应用程序做了同样的事情,但不幸的是我自己从未在 PowerBuilder 中开发过应用程序,所以我现在通常在考虑两个问题:

  1. 是否有一些 API(最好是 Java 或 C/C++)可以让人们遍历 PowerBuilder 应用程序的可视对象树?我在 PowerBuilder Native Interface system 上阅读了一些内容,但似乎这意味着用 C/C++ 编写 PowerBuilder 扩展,然后可以从 PowerBuilder 脚本语言调用,对吧?

  2. 如果有一些可用的 API - 也许 PowerBuilder 应用程序甚至会公开某种支持 IPC 的 API,它可以让我检查 PowerBuilder 对象层次结构的状态,而无需处于 PowerBuilder 应用程序的进程中?也许有可用的自动化接口,或者基于 COM 的东西——或者其他东西?

现在,我的印象是可能需要在 PowerBuilder 应用程序的进程中注入一个 DLL,然后获得对正在运行的 PowerBuilder VM 的访问权限,以便我可以查询它以获取对象树。某种 IPC 机制将让我将这些信息传输到 PowerBuilder 应用程序的进程之外。

有没有人有这方面的经验,或者可以阐明是否有人已经尝试过这样做?

最好的祝福,

  • 弗里里希