问题标签 [code-security]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
876 浏览

obfuscation - 是否可以在 HHVM 下隐藏源?

在纯 PHP 下,我们可以使用带有混淆的 ioncube/else 之类的东西。在 pre-HHVM 下,我们可以使用已经编译的没有源代码的代码。但是在当前的 HHVM 下,我们能以某种方式隐藏我们的来源吗?

0 投票
0 回答
28 浏览

html - 与 phonegap 或 Apache cordova 相关的安全相关缺点是什么?我们如何才能让我们的混合应用程序免受威胁?

开发应用程序时经常面临安全挑战。因此,与应用程序安全相关的信息必须为开发人员所知。

0 投票
0 回答
9340 浏览

java - 如何通过使用清单文件反编译其中存在的类来为 jar 文件提供安全性

清单文件中是否有任何属性可以为 jar 文件提供安全性。

[更新] 我正在开发一个将部署在用户机器上的 java swing 应用程序。需要确保我的代码/应用程序不能被调整或复制。寻找可以帮助我保护我的应用程序/代码的选项。

0 投票
1 回答
952 浏览

winapi - 尝试设置 ProcessStrictHandleCheckPolicy 返回 87 - 函数不正确

我正在尝试SetProcessMitigationPolicy在 Windows 10 上使用来启用ProcessStrictHandleCheckPolicy

如果处理无效的句柄,该进程将收到致命错误。

作为一般规则,严格的句柄检查一旦打开就不能关闭。因此,使用此策略调用SetProcessMitigationPolicy函数时,RaiseExceptionOnInvalidHandleReferenceHandleExceptionsPermanentlyEnabled子结构成员的值必须相同。不能仅临时启用无效句柄异常。

我可以启用许多其他缓解措施:

  • ProcessDynamicCodePolicy:进程的动态代码策略。开启后,进程无法生成动态代码或修改现有的可执行代码。
  • ProcessExtensionPointDisablePolicy:包含旧版扩展点 DLL 的进程缓解策略设置。
  • ProcessSignaturePolicy:可以将图像加载限制为由 Mi​​crosoft、Windows 应用商店或 Microsoft、Windows 应用商店和 Windows 硬件质量实验室 (WHQL) 签名的图像的进程策略。
  • ProcessFontDisablePolicy:关于进程字体加载的策略。开启后,进程无法加载非系统字体。
  • ProcessImageLoadPolicy:关于进程图像加载的策略,它决定了允许映射到进程中的可执行图像的类型。打开后,无法从某些位置加载图像,例如远程设备或具有低强制标签的文件。

但是ProcessStrictHandleCheckPolicy

失败,错误代码 87:

ERROR_INVALID_PARAMETER
参数不正确

怎么了?

奖金喋喋不休

ProcessDynamicCodePolicy策略阻止嵌入式 Web 浏览器运行 Javascript :

  • ProhibitDynamicCode:设置(0x1)以防止进程生成动态代码或修改现有的可执行代码;否则保持未设置 (0x0)。
  • AllowThreadOptOut: 设置 (0x1) 以允许线程通过调用SetThreadInformation函数来选择退出动态代码生成的限制,并将 ThreadInformation 参数设置为ThreadDynamicCodePolicy;否则保持未设置 (0x0)。您不应同时使用AllowThreadOptOutThreadDynamicCodePolicy设置来提供强大的安全性。这些设置仅旨在使应用程序能够更轻松地调整其代码以适应完整的动态代码限制。

更多红利

我其实是在Delphi,所以语法和上面的C/C++/C#伪代码不同:

它不会改变问题:

  • 有时当我发布 Delphi 代码时,它并不是严格与 Delphi 相关的,我收到评论说我应该包含 Delphi 标记
  • 有时当我发布 Delphi 代码时,它并不是严格与 Delphi 相关的,我会收到一些我不应该包含 Delphi 标签的评论

掷骰子

不要包含delphi delphi-xe6标签。

奖金阅读

0 投票
1 回答
33 浏览

ruby-on-rails - 关于代码安全的问题

我有一个现有的 ruby​​ on rails 应用程序,我们的一个客户希望使用服务器在本地设置我们的应用程序。现在有点担心代码安全和防盗问题。有什么办法可以让应用程序代码保留在服务器上并顺利运行,同时没有人能够复制应用程序代码。

请给我建议。

提前致谢!!!

0 投票
0 回答
44 浏览

r - 代码安全保护

我在机构计算机上编写了一个 R 脚本。我将其保存在外部设备(USB PenDrive)上,并在不属于我机构的计算机上对其进行了测试。当我从终端和 GUI 使用 R 运行它来测试它时,我从未将它保存在主机上。

这是因为在发布之前它必须保密。我只是想知道 R 或 Unix 本身是否在运行时将它保存在其他地方,尽管我直接加载它并给出卷的路径等等。

换句话说,问题是在 USB 上运行 R 脚本是否会在主机上留下任何痕迹。

PS:我检查了R历史来寻找它,但它似乎没有被保存。

0 投票
1 回答
46 浏览

java - 在 Java 中设置系统属性或添加参数更安全

我正在用 Java 6 编写一个程序,它需要知道属性文件的位置。现在它被配置为System.getProperty获取在运行时使用 -D 标志添加的属性文件路径。我想更改它,以便将属性文件路径添加为主要方法读取的参数。我的问题是,这两种配置都存在安全隐患吗?如果是这样,一个比另一个更安全吗?我曾尝试查找它,但在搜索内容时遇到了麻烦。

0 投票
2 回答
89 浏览

c - clang 没有卡在 #include "/dev/whatever"

我正在从事在线法官的代码安全项目。一个可能的漏洞是当有人上传一段这样的代码时:

我正在尝试重现它。使用 编译时gcc foo.c,gcc 会卡住并从终端读取,直到 EOF (Ctrl-D) 符合预期。当我clang foo.c,好吧,什么也没发生。Clang 的行为就像线条从未存在过一样。然后我尝试了这些代码:

仍然没有运气。为什么 Clang 忽略所有这些?如何通过#include-ing 使 Clang 卡住?

0 投票
1 回答
45 浏览

.net - .NET 框架:所有 System.* dll 都不是知识产权吗?

所有 .NET dll 都可以轻松进行逆向工程,因此 .NET 可以被视为一种知识产权,而不是 C++。最近我发现使用一些工具,.NET项目中使用的所有System.* dll也可以被窥视。这里的问题是为什么 .NET 中的 System.* dll 没有被混淆?.NET 框架中提供了哪些安全性以使其更像知识产权?

0 投票
0 回答
375 浏览

c# - APPSACAN: Authentication.Credentials.Unprotected

我使用 APPSCAN 对应用程序进行了扫描,报告说存在一个名为:“身份验证。凭据。未受保护”的漏洞,它在该方法中:

这是因为我正在发送没有保护或加密的 Web 服务凭据,但我不知道如何解决这个问题。有人可以指出我要解决这个问题的方向吗?