问题标签 [tampering]

我公司的许多客户在研究基础上使用我们的数据采集软件。由于一般研究的性质，一些客户要求对数据进行加密以防止篡改——如果他们的数据被证明是伪造的，可能会产生严重的后果。

我们的一些二进制软件使用存储在源中的密码加密输出文件，看起来像随机字符。在软件层面，我们能够打开加密文件进行只读操作。如果有人真的想找出密码以便更改数据，这是可能的，但工作量很大。

我正在研究使用 Python 快速开发另一款软件。为了复制加密的功能来阻止/阻止数据篡改，到目前为止我想出的最好的想法是只使用ctypesDLL 进行文件读取/写入操作，这样加密和解密的方法就“足够”了混淆了。

我们很清楚，“无法破解”的方法是无法实现的，但与此同时，我显然不喜欢仅仅在 Python 源代码中以纯文本形式放置加密/解密方法。我认为，“非常强烈地阻止数据篡改”就足够了。

使用 Python 获得快乐的加密媒介或其他数据完整性证明的最佳方法是什么？ 我看到另一篇关于生成“防篡改签名”的帖子，但如果签名是在纯 Python 中生成的，那么为任意数据生成签名将是微不足道的。我们或许可以打电话回家以证明数据的完整性，但这似乎给所有相关人员带来了极大的不便。

我正在用 python (2.6) 和 mechanize (0.1.11) 编写一个 web 测试脚本。我正在使用的页面有一个带有如下选择字段的 html 表单：

在机械化中，如果我尝试这样的事情：

然后我得到一个错误：ClientForm.ItemNotFoundError: insufficient items with name 'E'

我可以使用“Tamper Data”firefox 扩展手动执行此操作。有没有办法用 python 和 mechanize 做到这一点？我能否以某种方式说服 mechanize 该表单实际上具有我想要提交的值？

长期聆听者，第一次来电者。

'假设您有一个负责记录用户活动的数据库表。此日志的完整性很重要，因此您希望能够检测是否有人修改了表中的任何数据。为了让事情变得更有趣，还要考虑这样一个事实，即您的系统可能由一个邪恶的 SQL 管理员操作，他完全控制了这个可恶的系统。哎呀...

您将如何保护您的数据？

您将如何检测是否有人篡改了您的数据？

您可以使用无限的工具。（即散列、加密等）

我期待有一种方法可以安全地在页面之间传递数据并避免可能被篡改。

• 解决它的最佳方法是将敏感数据保存在数据库服务器上。
• 或者在数据库服务器上使用会话持久化。
• 或者任何在数据库服务器上保留数据的方法。

事实是因为性能我不想使用这样的方法。

我不知道以下是否安全，但我想测试一下。（但我不知道是否可能）

我想以加密模式将敏感数据保存在视图状态中。例如在 tespage1.aspx 中，并从 testpage2.aspx 中检索。

我该怎么做，它安全吗？

提前致谢

我们遇到了一个测试场景，需要篡改一个Http请求的源IP地址来模拟来自不同国家的客户端。你知道这方面的任何工具帮助吗？

最后但同样重要的是，我们的网站是用 ASP.NET 构建的。

谢谢。

我尝试使用 makecert 创建一个临时证书，并使用 cert2spc 从证书创建一个 spc。我用生成的spc签署了一些exe。然后我使用 VS 2008 中的二进制编辑器来翻转 exe 中的一些位（篡改）。令我惊讶的是，我能够执行该应用程序。

我期待系统会检测到篡改并会抱怨。因此问题。

任何指导将不胜感激。

我不确定这个问题是属于 StackOverflow 还是 SuperUser，但这里什么都没有……

我正在尝试在我的个人 ASP.NET 网站上测试一些基本的安全问题，以确切了解自定义验证器等在篡改数据时如何工作。我一直在研究 Firefox 扩展 TamperData，它似乎可以解决问题，但感觉一点也不专业。

我在使用 TamperData 时遇到的问题是 POST 数据的文本框太小而无法容纳 ASP.NET 视图状态，因此我必须将该数据复制到 Emacs 中，然后再将其复制回来以提高工作效率。我也不喜欢似乎没有选项只能篡改 from/to 的数据localhost。

关于更好的任务扩展或更好的测试方法的任何想法？

我想更改请求的 HTTP 标头的第一行，修改方法和/或 URL。

（优秀的）Tamperdata firefox 插件允许开发人员修改请求的标头，但不能修改 URL 本身。后一部分是我想要做的。

所以像...

GET http://foo.com/?foo=foo HTTP/1.1

……可能变成……

GET http://bar.com/?bar=bar HTTP/1.1

对于上下文，我需要篡改（纠正）来自 Flash 的错误请求，以查看是否可以通过修复 url 来纠正错误。

有任何想法吗？听起来像是可能需要在代理级别上完成的事情。在什么情况下，建议？

为什么我们不将网站访问者（订阅者）的cookie信息保存在数据库中，而不是在用户的机器上设置一个文件。是的，我知道我可能听起来很傻，原因如下：

1. 为每一个用户维护很小的“块”数据的数据库信息是很困难的。

2. 当数据库服务器关闭时，检索数据可能很困难。

3. 对于每条小信息，都将向 Web 服务器发出连续请求。

我的观点是，如果我们要将用户的数据存储在数据库中而不是客户端计算机上的文件中，我们可以通过不允许其他组织或其他站点（甚至黑客）访问用户的数据来为客户端提供安全性来自 cookie 的信息。

此外，我们可以跟踪用户的活动或行为。（我的意思是，我们实际上不知道用户在做什么（客户端活动），比如数据篡改。）

如果您觉得连续向 Web 服务器发送请求可能很困难，那么这要归功于 Ajax。这为我的立场提供了一些支持：使用 Ajax 向 Web 服务器发送请求变得如此简单。

那么，将用户的敏感信息存储在数据库中而不是在用户的机器上设置一个小文件是不是一个好主意？

具体来说，我不是在谈论会话！

这是一个测试引擎应用程序，我设置了 5 篇论文..as 5 php pages

申请流程

登录.html

check.php // 检查凭据是否正确

如果正确的话

main.php //用户点击此页面中的“参加考试”，显示他 5 篇论文中的 1 篇...

但是一旦我登录，我可以将 url 更改为我想要的试卷的 url..纸张名称 r 1.php 2.php....

我该如何阻止这个......？？

这是正确的......正如我所说的有5页......

在每个页面我有这个代码....

我检查是否设置了 Session 变量......如果设置了......这意味着它已经访问过页面......但是这段代码不起作用......我是否使用了变量 _SESSION ['page' ] 在声明之前？？？