问题标签 [code-security]

在纯 PHP 下，我们可以使用带有混淆的 ioncube/else 之类的东西。在 pre-HHVM 下，我们可以使用已经编译的没有源代码的代码。但是在当前的 HHVM 下，我们能以某种方式隐藏我们的来源吗？

开发应用程序时经常面临安全挑战。因此，与应用程序安全相关的信息必须为开发人员所知。

清单文件中是否有任何属性可以为 jar 文件提供安全性。

[更新] 我正在开发一个将部署在用户机器上的 java swing 应用程序。需要确保我的代码/应用程序不能被调整或复制。寻找可以帮助我保护我的应用程序/代码的选项。

我正在尝试SetProcessMitigationPolicy在 Windows 10 上使用来启用ProcessStrictHandleCheckPolicy：

如果处理无效的句柄，该进程将收到致命错误。

作为一般规则，严格的句柄检查一旦打开就不能关闭。因此，使用此策略调用SetProcessMitigationPolicy函数时，RaiseExceptionOnInvalidHandleReference和HandleExceptionsPermanentlyEnabled子结构成员的值必须相同。不能仅临时启用无效句柄异常。

我可以启用许多其他缓解措施：

• ProcessDynamicCodePolicy：进程的动态代码策略。开启后，进程无法生成动态代码或修改现有的可执行代码。
• ProcessExtensionPointDisablePolicy：包含旧版扩展点 DLL 的进程缓解策略设置。
• ProcessSignaturePolicy：可以将图像加载限制为由 Mi​​crosoft、Windows 应用商店或 Microsoft、Windows 应用商店和 Windows 硬件质量实验室 (WHQL) 签名的图像的进程策略。
• ProcessFontDisablePolicy：关于进程字体加载的策略。开启后，进程无法加载非系统字体。
• ProcessImageLoadPolicy：关于进程图像加载的策略，它决定了允许映射到进程中的可执行图像的类型。打开后，无法从某些位置加载图像，例如远程设备或具有低强制标签的文件。

但是ProcessStrictHandleCheckPolicy：

失败，错误代码 87：

ERROR_INVALID_PARAMETER
参数不正确

怎么了？

奖金喋喋不休

ProcessDynamicCodePolicy策略阻止嵌入式 Web 浏览器运行 Javascript ：

• ProhibitDynamicCode：设置（0x1）以防止进程生成动态代码或修改现有的可执行代码；否则保持未设置 (0x0)。
• AllowThreadOptOut: 设置 (0x1) 以允许线程通过调用SetThreadInformation函数来选择退出动态代码生成的限制，并将 ThreadInformation 参数设置为ThreadDynamicCodePolicy；否则保持未设置 (0x0)。您不应同时使用AllowThreadOptOut和ThreadDynamicCodePolicy设置来提供强大的安全性。这些设置仅旨在使应用程序能够更轻松地调整其代码以适应完整的动态代码限制。

更多红利

我其实是在Delphi，所以语法和上面的C/C++/C#伪代码不同：

它不会改变问题：

• 有时当我发布 Delphi 代码时，它并不是严格与 Delphi 相关的，我收到评论说我应该包含 Delphi 标记
• 有时当我发布 Delphi 代码时，它并不是严格与 Delphi 相关的，我会收到一些我不应该包含 Delphi 标签的评论

掷骰子

不要包含delphi delphi-xe6标签。

奖金阅读

• 如何使自己的围栏通电：ProcessStrictHandleCheckPolicy

我有一个现有的 ruby​​ on rails 应用程序，我们的一个客户希望使用服务器在本地设置我们的应用程序。现在有点担心代码安全和防盗问题。有什么办法可以让应用程序代码保留在服务器上并顺利运行，同时没有人能够复制应用程序代码。

请给我建议。

提前致谢！！！

我在机构计算机上编写了一个 R 脚本。我将其保存在外部设备（USB PenDrive）上，并在不属于我机构的计算机上对其进行了测试。当我从终端和 GUI 使用 R 运行它来测试它时，我从未将它保存在主机上。

这是因为在发布之前它必须保密。我只是想知道 R 或 Unix 本身是否在运行时将它保存在其他地方，尽管我直接加载它并给出卷的路径等等。

换句话说，问题是在 USB 上运行 R 脚本是否会在主机上留下任何痕迹。

PS：我检查了R历史来寻找它，但它似乎没有被保存。

我正在用 Java 6 编写一个程序，它需要知道属性文件的位置。现在它被配置为System.getProperty获取在运行时使用 -D 标志添加的属性文件路径。我想更改它，以便将属性文件路径添加为主要方法读取的参数。我的问题是，这两种配置都存在安全隐患吗？如果是这样，一个比另一个更安全吗？我曾尝试查找它，但在搜索内容时遇到了麻烦。

我正在从事在线法官的代码安全项目。一个可能的漏洞是当有人上传一段这样的代码时：

我正在尝试重现它。使用 编译时gcc foo.c，gcc 会卡住并从终端读取，直到 EOF (Ctrl-D) 符合预期。当我clang foo.c，好吧，什么也没发生。Clang 的行为就像线条从未存在过一样。然后我尝试了这些代码：

仍然没有运气。为什么 Clang 忽略所有这些？如何通过#include-ing 使 Clang 卡住？

所有 .NET dll 都可以轻松进行逆向工程，因此 .NET 可以被视为一种知识产权，而不是 C++。最近我发现使用一些工具，.NET项目中使用的所有System.* dll也可以被窥视。这里的问题是为什么 .NET 中的 System.* dll 没有被混淆？.NET 框架中提供了哪些安全性以使其更像知识产权？

我使用 APPSCAN 对应用程序进行了扫描，报告说存在一个名为：“身份验证。凭据。未受保护”的漏洞，它在该方法中：

这是因为我正在发送没有保护或加密的 Web 服务凭据，但我不知道如何解决这个问题。有人可以指出我要解决这个问题的方向吗？