标签: tampering

长时间听众,第一次来电.

'假设您有一个负责记录用户活动的数据库表.此日志的完整性非常重要,因此您希望能够检测是否有人修改了表中的任何数据.为了使事情更有趣,还要考虑这样一个事实,即您的系统可能由一个完全控制这个可怜系统的邪恶SQL管理员操作.让人惊讶...

您将如何保护您的数据？

您如何检测是否有人篡改了您的数据？

您可以随意使用无限制的工具.(即散列,加密等)

如何将"对象"添加到现有应用程序？

例如,EasyRefresh for Chrome调整,在iOS Chrome应用程序中启用了一个新按钮,就像许多其他调整一样.

我怎么可以添加一个简单UIButton的,例如,Twitter应用程序？

是否有任何GitHub项目可以帮助我理解它是如何完成的？

图像来源:ModMyI

谢谢.

我正在研究一个项目(移动应用程序),我需要监视对手的行动.所以,我的问题是如何让iOS应用程序篡改？

例如

• 每当任何对手试图篡改代码时,系统都应该警告管理员这些操作
• 阻止那个对手
• 如果用户尝试在rooted设备上安装app,则系统可以检测到该问题.
• 系统应该能够监控对手的行为.

我找到了类似android的解决方案ProGuard,SafetyNet但没有为iOS找到任何东西.

通过信任$ _SERVER变量数组的内容以使用$ _SERVER ['PHP_SELF']获取php文件的名称,我是否会冒很大的安全风险？

我想知道在确定文件是否被篡改时，我可以在多大程度上依赖文件上的数字签名（又名 Verisign、Simantec 等的数字证书）。

假设我想要下载一个应用程序版本，该版本不再位于原始开发人员的网站上，而是可在 cnet、oldapps.com 或 filehippo 等第三方网站上找到。我通常会搜索旧的论坛条目，其中有人列出了 MD5 或 SHA1 哈希签名，看看它们是否与我下载的条目上的哈希相匹配。这仅适用于软件广泛传播的真正大型开发人员。

我想知道验证文件的数字签名是否是确保文件来自开发人员并且未被第三方更改的另一种可靠方法？

我要问的是：如果黑客用恶意代码注入已经签名的 DLL 或 EXE，有效地更改了文件的哈希值，是否会破坏数字签名，因为签名嵌入了某种摘要？或者签名完全不受影响？

我有一个页面,其输入文本组件标记为required="true"并Validator在服务器端具有自定义.

现在作为客户端,我提交的页面没有该组件呈现的HTML元素(这可以通过使用浏览器的内置DOM元素检查器从DOM树中删除元素来轻松实现).表单已成功提交,无需服务器端验证此必需组件.

这是按照JSF规范吗？有没有办法指定即使发布的页面不包含它们,也要执行页面中的验证器？

我能够在firefox中使用Tamper Data篡改post请求参数,即当我发出post请求并且我在firefox中获取弹出窗口以更改POST请求参数但是在GET请求的情况下,我得到弹出窗口但是没有办法改变请求参数.

所以问题是我们不能通过Tamper Data/Fiddler更改请求参数吗？(是的,我同意我们可以从浏览器地址栏更改它,但是一旦第一个请求被激活,这将适用但我想篡改一些数据首先获取请求.所以我想用Tamer Data/Fiddler更改GET请求参数.是否有可能？)

我想更改请求的HTTP标头的第一行,修改方法和/或URL.

(优秀的)Tamperdata firefox插件允许开发人员修改请求的标题,但不能修改URL本身.后一部分是我希望能够做到的.

所以像......

GET http://foo.com/?foo=foo HTTP/1.1

......可能会......

GET http://bar.com/?bar=bar HTTP/1.1

对于上下文,我需要篡改(纠正)来自Flash的错误请求,以查看是否可以通过修复URL来纠正错误.

有任何想法吗？听起来像是需要在代理级别上完成的事情.在哪种情况下,建议？

为什么我们不将网站访问者(订阅者)的cookie信息保存在数据库中,而不是在用户的计算机上设置文件.是的,我知道由于以下原因我可能听起来很傻:

1. 维护每个用户的数据库信息对于很小的"数据块"是很困难的.

2. 当数据库服务器关闭时,可能很难检索数据.

3. 对于每一小段信息,将对Web服务器进行连续请求.

我的观点是,如果我们要将用户的数据存储在数据库中而不是存储在客户端计算机上的文件中,我们可以通过不允许其他组织或其他站点(甚至是黑客)访问用户来为客户端提供安全性.来自cookie的信息.

此外,我们可以跟踪用户的活动或行为.(我的意思是,我们实际上不知道用户正在做什么(客户端活动),如数据篡改.)

如果您觉得连续向Web服务器发送请求可能很困难,那么感谢Ajax.这为我的立场提供了一些支持:使用Ajax将请求发送到Web服务器变得非常简单.

那么,将用户的敏感信息存储在数据库中而不是在用户的计算机上设置小文件是一个好主意吗？

具体来说,我不是在谈论会议!

我们的数据库中有审计表.使用触发器完成对此表的记录.

目前,没有什么能阻止用户登录数据库服务器,从管理工作室打开表并更改审计表中的数据.

哪些可能的机制可以阻止(或至少检测)审计数据篡改的情况？

我正在考虑在审计表中添加一列,其中应包含根据在该行中输入的值计算的一些哈希值.但是,由于审计是使用触发器完成的,因此恶意用户可以打开任何触发器并查看计算此哈希的逻辑.

编辑:

我不太清楚.应用程序用户无权访问数据库.我指的是像DB管理员这样的用户,对数据库有适当的权限.尽管如此,如果这个数据库管理员登录并有权使用审计表进行调节,我希望至少有一些机制来检测这种篡改.