问题标签 [tampering]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
php - php 中的 $_SERVER 变量如何“防篡改”?
通过信任 $_SERVER 变量数组的内容来使用 $_SERVER['PHP_SELF'] 获取 php 文件的名称,我会承担很大的安全风险吗?
asp.net - 检查查询字符串是否被篡改的“正确”位置在哪里?
我想在任何“篡改”查询字符串的情况下添加查询字符串“检查”和日志记录。给定页面上的 Page_Init 事件是在 ASP.Net 页面生命周期中执行此操作的正确位置吗?
c# - 防止审计表篡改
我们的数据库中有审计表。该表的记录是使用触发器完成的。
目前,没有什么可以阻止用户登录数据库服务器、从管理工作室打开表和更改审计表中的数据。
有哪些可能的机制可以防止(或至少检测)审计数据篡改案例?
我正在考虑在审计表中添加一列,该列应包含一些基于该行中输入的值计算的哈希值。但是,由于审计是使用触发器完成的,恶意用户可以打开任何触发器并查看计算此哈希的逻辑。
编辑:
我不够清楚。应用程序用户无权访问数据库。我指的是像 DB admin 这样的用户,对数据库具有适当的权限。尽管如此,如果这个数据库管理员登录并有权修改审计表,我希望至少有一些机制来检测这种篡改。
ruby-on-rails - Rails 3 ActiveRecordStore session_id 篡改
我正在Rails 3.0.9中共同开发一个简单的 Web 应用程序,我意识到可能会通过恶意请求篡改 session_id。请注意,这是我的第一个 RoR 应用程序,所以我的想法可能完全错误。
当前的应用程序功能需要会话,所以我转向 ActiveRecordStore 会话存储,安装它并开始在原始工作流中进行测试。我注意到 Rails 框架使用_session_id一些随机的类似哈希的字符串的名称和值创建 cookie(在 DB SESSION 表中,此字符串对应于session_id列)。
如果 cookie 中的值发生更改,例如使用 Firebug,则当前会话 id 更改为随 cookie 数据提供的值(用 进行检查request.session_options[:id]),并且更改传播到数据库表,使用上述参数创建新的会话记录。
虽然这对会话的变量没有任何影响,但会话 id 已经从其通常的类似哈希的外观偏离了用户篡改的外观。
问题来了——如何检测或最好防止这种行为?
.net - 为.Net应用程序实施反连接篡改的最佳想法是什么
为我的 .Net 应用程序实施防连接篡改的最佳方法是什么。例如,我不希望任何人看到我的应用程序正在发送到我的服务器..或者至少加密已发送到服务器的数据..
我现在只是想到了一个简单的想法,我不确定这是否是正确的做法,以便难以理解我的应用程序发送到我的服务器的内容..无论如何,我的想法是使用 SSL 证书.. 这是防止连接篡改的好方法吗?
任何想法或建议将不胜感激..
database - 数据库中的审计日志(跟踪)篡改
假设我们有一个应用程序,它有一个数据库——例如 MySQL、SQL Server 或 Oracle。假设我们有多个人,例如数据库管理员和审计管理员,他们对数据库具有管理员访问权限。假设其中一个人修改了记录并更改了审计跟踪(因为他们具有管理员权限,我认为他们可以对数据库做任何事情,但如果我错了,请纠正我)。
有没有其他方法可以检测到这一点?由于更改审计跟踪会掩盖对数据库记录的篡改。
是否有任何数据库供应商对此有解决方案?我想这属于数据库取证下的审计日志篡改检测。
asp.net - asp.net 表单身份验证票被篡改但仍然有效
我使用标准的 .net Api 生成带有一些用户数据的表单身份验证票,加密并将其发送给我的客户端。除了一个小问题外,一切正常。如果我用 G 和 Z(大写字母)之间的字母替换身份验证票中的 0,它仍然有效 - 它可以很好地解密,我从身份验证票中获取所有用户数据和所有内容。这不应该发生对吗?即使是身份验证票的微小变化也应该使解密无法正常工作?任何其他更改都将确保票证不会解密并引发异常。
c# - 如何在网站之间安全地传递数据?
如果我有一个用于访问其他网站的门户。
假设我有一个门户A。我想访问该网站B。
如果B需要一些关键信息才能像username. 我想安全地传递这些信息。
所以我制作这样的表格:
如果客户点击门户中的链接A,我将提交此表单。
每个网站一份表格。
我的问题是关于如何保护这些数据并防止篡改。
security - Playframework 中的跨站点脚本和 Web 参数篡改预防
在发布了我们第一个使用 Play 框架构建的http://www.trademango.com的公开 alpha 版本之后。我已经体验过某人或某物(即机器人)进行的 Web 参数篡改尝试。这些尝试已经进行了一段时间。我们正在考虑提高我们的安全性。我想知道是否有人有将 owsap 等工具与 Playframework 集成的经验。我希望获得一些社区反馈,了解其他人针对此类攻击所做的工作。
以下是一些实际的 Web 参数篡改尝试:
asp.net-mvc-3 - 防止响应中的数据篡改
在阅读The Web Application Hacker's Handbook时,我尝试在自己的网站(ASP.NET MVC3)上做一个小测试。
我有一个模型,它包含两个字段,第一个字段是禁用的下拉列表。第二个是启用的文本字段。第一个字段从 View.chtml 中禁用并
new {disabled="disabled"}作为参数添加。
这是发生在我身上的事情,我将Burp Suite工具作为代理运行并捕获了响应。在响应中,我disabled="disabled"从 HTML 中删除了属性,然后将响应转发给浏览器。Oviuosly,该页面现在有两个启用的字段。
问题是如何使用Burp Suite等工具防止篡改字段?