问题标签 [tampering]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
swift - 保持应用程序防篡改
目前正在设计一个 iOS 应用程序,该应用程序具有将游戏内货币转换为现实世界货币的功能。(在 Xcode 中使用 swift,它是一个手机游戏)
由于这个应用程序包含真钱的前景,我不禁觉得人们会篡改游戏机制并利用它。
我目前保持应用程序防篡改的想法是让用户填写表格,用户不仅会输入他们所有的相关信息,而且在后台包括用户应用程序数据,显示他们所有的动作和游戏历史(没有中断由于该应用程序只是一个基本的游戏,因此他们不会在最后输入任何私人信息(除了付款信息)。
是否有任何必须包含在代码中以确保游戏是防篡改的,或者至少是一种我可以发现篡改的方式?(我假设那里已经有线程,让我知道它们会很棒)。
谢谢
c++ - 基本的篡改保护
我正在尝试创建一个对 licenseCheck 函数具有篡改保护的基本程序,但它总是说它是正确的,即使我在 Ollydbg 中 nop 整个 licenseCheck 函数或更改并重建代码。
我正在关注《秘密软件》一书,并编写了以下程序:
该程序基本上“散列”了 BEGIN 函数和 END 函数之间的代码,但它似乎不起作用。即使在篡改之后,哈希值也始终是正确的。
我正在使用 Windows 7 和 Visual Studio 2017 构建/运行程序。
c++ - C ++如何读取函数的前几个字节?(32位机)
假设我有一个这样的函数(完全随机,我只是在 30 秒内写了一个例子)
我将如何阅读该函数的前几个字节?
我想出了这个
其背后的逻辑是我们获取函数的内存地址(在这种情况下exampleAuthetnication()),然后我们转换为 int 指针,然后取消引用以获取我们尝试读取的当前字节行的值,然后存储functionByteArray,但它没有似乎工作正常。我究竟做错了什么?我想要完成的事情可能吗?
android - 检测 Apk 中的代码篡改
我对应用程序开发特别陌生,最近了解了 apk 的整个签名过程,为什么它是强制性的,以及防止未经授权和篡改应用程序的重要性。Signature 的著名检查之一是使用 PackageManager 类进行签名验证。是否有任何其他方法可以检查 apk 本身中的 META-INF 目录是否存在篡改或其他滥用活动,以验证应用程序未被篡改且其原始签名完好无损?
python - 使用 mitmproxy 即时修改 HTTPS 响应数据包
我正在尝试实现一个 mitmproxy 插件脚本,以篡改特定的 https 数据包数据 - 这是通过 mitmproxy 的证书注入动态解密的方式。
我正在关注这个Stack Overflow对一个相当相似的问题的回答,以及mitmproxy 文档中的本教程,但到目前为止没有任何成功。
我要定位的数据包来自https://api.example.com/api/v1/user/info.
现在这是我编写的用于篡改此数据包数据的整个 python 脚本,基于上述来源:
查看事件日志,我可以看到第一个日志信息(“ RespModif 触发”)正在报告到日志中,但其他两个日志信息(从if语句内部完成)从未报告,这意味着我认为if语句永远不会成功。
我的代码有问题吗?
我怎样才能让if声明成功?
PS:目标 URL 绝对正确,而且我将它与来自客户端应用程序的注册帐户一起使用,该应用程序正在被 mitmproxy 嗅探。
offline - 如何限制网络封闭的客户使用我的许可软件?
我开发了一个 linux 桌面应用程序,它的成本取决于用户打算用我的软件创建的“小部件”数量。如果他们超过该数量,他们需要购买访问权限以创建更多小部件。
这一切都必须离线完成,因为小部件是高度机密的,并且客户倾向于将他们的网络与外界隔离。
我计划为客户提供一个加密的许可证密钥,其中将嵌入有关他们购买了多少小部件的使用信息。
我仍然遇到的问题是如何在创建小部件时记录它们的数量。以及如何使该计数防篡改。
我不希望发生的是将创建的小部件的数量保存到文件中,然后当客户达到他们购买的限制时,他们只需将文件设置回旧状态并继续创建小部件。
任何关于离线、防篡改使用跟踪的想法?我的桌面应用程序目前仅针对 linux。
本地许可证服务器可以,但不确定如何防止数据库篡改?
csv - 是否可以生成只读 CSV 文件?
出于法律原因,我应该让客户能够下载 CSV 文件,但她/他应该只能阅读,不能修改。处理这个用例的常用方法是什么?文件上的某种签名,这样如果它被修改,你可以看到它不是他的原始形式?
我不需要绑定到特定语言的解决方案,我只想知道什么是最佳实践。
javascript - 如何修复此脚本以将值从 true 更改为 false
这是我在您论坛上的第一个问题,我希望找到答案,也许这对你们每个人来说都是一个愚蠢的问题,但我从 JavaScript 训练营开始,我很好奇如何更改突出显示的值篡改猴子
另一个小问题:是否有任何用于 TamperMonkey 的宏记录器,例如 Microsoft Office 产品中提供的用于记录 VB 宏然后稍后对其进行编辑的那个?
HTML
TamperMonkey 脚本
我正在尝试使用 TamperMonkey 将“生产”更改为“开发”,但我责怪我对编程语言的无知。
问候
javascript - 是否可以在 Angular 应用程序中篡改客户端代码?
我在 JavaScript 编程或 Angular 应用程序开发方面的经验并不多,但我的总体理解是,当 JavaScript 到达客户端时,它是可以被篡改的。
我在 Angular 应用程序中遇到了一些基于角色的授权的示例实现,其中用户角色在成功登录时发送到客户端(即使他们使用的是 JWT,它应该是“自包含的”)。然后将用户角色值保存在客户端(本地存储或变量),并在canActivate路由保护中使用。
(我知道其中使用的值canActivate将仅决定是否激活路由并呈现有问题的组件,并且当组件代码尝试获取数据时,真正的角色验证发生在服务器端。)
我的问题是,这些客户端存储的值会被篡改,还是 Angular 有能力提供任何代码安全性?
提前致谢。
linux - 您将如何设计一个系统来保护 Linux 中的日志信息?
我正在尝试学习如何保护 linux 服务器,我已经开始使用基本的日志记录和身份验证。我想知道是否有人可以在默认模式下窃取我的日志信息。如果是,那么我该如何保护它。
我已经用谷歌搜索了,但答案并不令人满意。