问题标签 [code-security]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
.net - 是否可以防止 DLL 被修改?
是否可以签署或以其他方式保护托管 (.NET) DLL 不被修改?我正在寻找可能的解决方案来检测对 DLL 的更改并防止它们被 .NET 运行时加载。我不介意是否有人可以在 Reflector 或 ILSpy 中加载 DLL - 只要修改后的 DLL 无法执行,我就可以了。
我对此主题进行了一些搜索,但大多数文章/讨论都推荐混淆,这不是我想要的。我认为对 DLL 进行数字签名可以实现这一点,但与同事的交谈让我对此表示怀疑,而且我对这方面的了解也很肤浅。
任何意见,将不胜感激。
ibm-mobilefirst - IBM WorkLight android 源代码安全性
我正在使用IBM workLight 4.0 版本,目前我正在开发一个简单的保险应用程序,一切都做得很好。在 Android 设置完成后,我可以从 .APK(android 设置文件)中提取 HTML5 和 javascript 源。我觉得它对黑客来说是不安全的,并且可能被某人滥用。
你能请任何人告诉我如何在设置/部署中保护代码吗?
c# - 安全的非对称密钥实现客户端
我目前正在尝试开发客户端-服务器结构,客户端位于.NET 中,服务器是基于 PHP 的 SOAP 服务器。
现在,我正在尝试使用 Rijndael 256 和一些摆弄来实现一个非对称密钥系统。我了解公钥/私钥对的基本概念(根据此页面和维基百科),但是我无法理解它在任何客户端环境中的安全性。
简而言之,该软件将在客户端机器上运行,因此用户将有能力篡改该软件。大多数客户端的功能都围绕从服务器接收到的响应,以显示报告和详细信息。除此之外,客户端软件有时会等待来自服务器的命令,服务器将告诉客户端显示弹出窗口或执行客户端程序关闭(与许可有关)。我意识到服务器可能崩溃或挂起,或者客户端断开连接。其中大部分都在代码中进行了考虑和处理。但我担心的是有人篡改客户端,使其完全忽略服务器的命令。
客户将可以使用各种“玩具”,例如 IDA、ILDASM、de4dot 和各种其他调试器和/或反编译器,我相当肯定有经验的破解者将能够在短时间内找出公钥/私钥组合一段的时间。我知道 .NET 代码本身是非常不安全的,但我不确定除了使用 .NET Reactor 和 Dotfuscator 等工具之外该怎么做。
我的问题:我可以使用什么样的实践、代码、想法或任何东西来严重延迟所说的破解者,或者更确切地说,我如何不惜一切代价保护私钥。
非常感谢任何提示、提示、建议或示例!
matlab - 如何锁定 MATLAB 文件以使其可执行
如何锁定 MATLAB 文件以使其可执行。
我正在编写代码来创建 GUI,第三方应该在其中运行 .fig 文件但应该无法读取编写的代码。主 GUI 编辑器文件还包含用户定义的函数,它们也应该被锁定并具有执行能力。先感谢您。
.net - 使用不仅仅是混淆的东西来阻止反编译
每当谈到 Dll 安全性时,在线搜索的所有结果都在谈论混淆。现在,我的问题是,除了混淆之外,我们还能做些什么来使我们的程序集更安全并且不受重新设计的影响?
我问的原因是因为我正在准备代码安全演示,并且我知道会发生去混淆,如果你让人们有足够的决心花时间重新设计任何代码,那么他们最终会这样做。这个故事的寓意是混淆不是一个完全证明的解决方案,它只会让重新设计代码变得困难。但是,如果我们将混淆与其他技术结合起来,那么它会变得更加困难。
有什么建议么?
c# - 如何保护我的 dll 免受反编译器的影响?
我想保护我dll在decompile其中创建dll的内容,release mode并在dll创建时删除 .pub 功能。
我还阅读了有关obfuscator工具的信息,但我无法保护我的dll.
有没有人知道如何保护dll from decompile?
我已经检查了如何保护我的 .NET 程序集免受反编译的答案?但它没有提供正确的答案,只提供了您无法确保您的 dll 代码安全的描述......
java - 在服务器上验证 javascript 代码
我的网站中有一个文本区域,用户可以在其中添加 java 脚本代码。我需要检查此代码是否包含任何恶意代码。有哪些选择
- 客户端
- 服务器端
或者我在哪里可以找到检查恶意代码的好材料。
c# - 如何验证库程序集来自给定的网站?
以下解决方案将如何实施?您是否需要将此代码放在每个库程序集中,还是仅放在根据库程序集是否源自给定的 Intranet 网站来确定调用库程序集是否安全的主程序集中?另外,谁应该调用 CheckSite 方法——每个库程序集还是主应用程序?这是我所指的 C# 专家考试 70-483 的练习考试的示例和解决方案:
您是一家公司的应用程序开发人员。您正在公司的 Web 服务器上创建一个应用程序,该应用程序将处理来自业务合作伙伴的机密数据。该应用程序依赖于公司 Intranet 中的许多库程序集来完成其工作。您需要验证每个程序集都来自同一个 Intranet 网站。您应该使用哪个代码来验证当前程序集是否来自公司内部网?
c# - 将方法中的代码限制为仅调用同一类中的成员
有没有一种方法可以限制在我的类中的一个方法中进行的调用,以便只能调用封闭类(也是继承的)上的方法和属性。我正在使用 c# (.NET 4.5)。这将用作我们应用程序框架中的代码安全功能。
.net - 如何确保只能从特定的dll调用方法
我需要为单元测试准备我的数据库,因此在设置方法中我想摆脱数据。
但是,除了单元测试 dll 之外,我不想成为其他任何人,以便能够DeleteAllData()在我的数据访问层中调用我的方法。可以做什么?