問題タブ [code-injection]

以下を使用して、連絡先フォームからの入力をクリーンアップしています。

私はこの機能を使用しています：

お問い合わせフォームをクリーンアップするにはこれで十分ですか?

ありがとう。

実行時に（署名された）.NETプログラムのバイトコードを操作することは可能ですか？たとえば、JITにILを再評価させることによって？

最近では、コード インジェクション、エクスプロイト、バッファ オーバーフロー、スタック オーバーフロー、ヒープ オーバーフローなど、コードのインジェクションと実行につながるものについて多くを読むことができます。このことの何が Java に関連するのだろうか。

Java言語にはポインターがありません。しかし、JVM はデータをヒープやスタックに編成しませんか? （PHPのような）eval関数がないことはわかっているので、入力をJavaコードとして簡単に使用することはできません。バイトコードレベルで何が起こっているのかよくわかりません。

たとえばJava EEアプリケーションで、入力がフィルタリングされていない場合、XSSは可能だと思います。しかし、これはむしろ JavaScript インジェクションではないでしょうか。インジェクトされたコードは JVM ではなくブラウザで実行されるからです。

では、Java ではどのコード インジェクションが可能で、どれが可能でないのでしょうか? これは、他の Java プラットフォーム言語にも当てはまりますか?

前もって感謝します。

SEAM アプリに次のインターセプターがあるとします。

myMonitor.a() は機能します (そのため、Monitor は正しく挿入されます)、myMonitor.b() は Monitor が既に null であるため失敗します。Seam Docは次のように述べています。

それが起こっていることですか？SEAM にコンポーネントを「まだ」「消毒」するように指示することはできますか? もちろん、XContext.get(..) のようなこともできますが、これはバグなのか、私の側のミスなのか疑問に思っています。ありがとう！

コードで表示される唯一の php ページは index.php です。そのため、それをバックアップに置き換えます。毎日、次のように変更されます。

サイトを削除し、Joomla とすべてのプラグインを再インストールしています。データベースも再構築する必要がありますか? これが単なる PHP インジェクションなのか SQL インジェクションなのかはわかりません。MySQL インジェクションをテストする方法はありますか?

Web アプリのユーザーが URL を入力し、その URL を curl に渡せるようにしたいと考えています。私は、Net::HTTP や open-uri よりも curl を使用したいと考えています。しかし、これはセキュリティ上のリスクをもたらします。URL 文字列をチェックしてインジェクション攻撃を防ぐ最善の方法は何ですか?

インジェクション攻撃をチェックするために、次のような正規表現を使用することを考えています。

そのチェックが成功した場合は、そのようにcurlを呼び出すだけです

これで十分安全ですか？

フラッシュベースのUIを制御するためのC++（Qt）ベースのアプリケーションを構築しています。フラッシュランタイムは膨大な量のメモリをリークするため、C++で記述されたコマンドアンドコントロールアプリとは別にスタンドアロンのフラッシュプレーヤーにロードされた.swfとしてUIを実行します。

C ++は、適切なパラメーターを使用して外部プロセスとしてFlash Playerを起動し、ローカルホストに接続されたTCPソケットを介してFlashPlayerと通信します。

アプリケーションは主にWindowsXP以降で実行されます。

Flash Playerをスタンドアロンで実行することの不幸な副作用は、2つのアプリケーションがAlt + tabリストとWindowsのタスクバーに表示されることです（1つはアプリケーションで、もう1つはFlash Playerです）。さらに、アプリケーションは全画面で実行されるため、フラッシュは画面全体を管理する必要があります。C ++アプリが画面の一部を描画できるようにすることは、大幅な改善になります。

独自のアプリケーションを制御したまま、どういうわけか2つをマージしたいと思います。私はGoogleChromeに沿って何かを考えています。これは、すべての出力を1つのウィンドウに表示しながら、各ブラウザータブを別々のプロセスで実行しているように見えます。

これを達成することさえ可能かどうかを判断するために、私はWin32 API（およびgoogle）を読んでいます。これまでのところ、私は唯一の半実行可能な解決策としてdllインジェクションを考え出しましたが、その計画Bを検討したいと思います。

任意の提案をいただければ幸いです。

次のコードに潜在的なセキュリティ リスクがあるかどうか疑問に思っています。ユーザーがコメントを送信するたびにブログでこれを使用すると、テキストメッセージが送信されます。

$nameとは、実際にはサニタイズ$commentされていないユーザー入力値です。ユーザーがここで悪意のあることを行う可能性はありますか? mail()のドキュメントはこれについて何も述べていませんが、ユーザーが入力した値を文字列に直接貼り付けるのは間違っていると感じています。本当のリスクはありますか、それとも私が妄想しているだけですか?

こんにちはスタックオーバーフロー：時々読者、初めてのポスター。

バックグラウンド：

XP SP3を実行しているWindowsボックス、まもなくWindows Sevenにアップグレードされます（MSDNAA <3）

1秒間に数千回呼び出される関数をフックすることでサイクルを取得するDLLが挿入されています。

Pythonアプリを介してこのDLLを通信/制御したいと思います。基本的に、DLLが機能し、Pythonアプリが頭脳/意思決定を提供します。

これを行うための私のゲームプランは、DLLにカウンターとifステートメントを含めることです。フックされた関数が呼び出されるたびに、counter ++を実行し、if（counter == 250）{// dostuff（）;のようになるまで元の関数に戻ります。}。この背後にあるのは、ターゲットアプリをほとんど妨げられずに実行できるようにすることですが、それでも興味深いことを実行できるようになります。

問題：

私は、通信を行うためにどのIPC方式を使用すべきかについて完全に途方に暮れています。ソケット、共有メモリ、パイプ、ファイルマッピング（？）、RPC、およびクリップボードへの書き込みのような他の（一見）難解なものがあります。

私はおもちゃの例以外の種類のIPCを実装したことはありません。

私は私が何かが必要だとかなり確信しています：

• PythonとDLLの間のやり取りを処理できます
• ブロック/待機しません
• 待機中のデータを確認し、データがない場合は続行できます
• ロックが関係している場合は、待つ代わりに続行できます
• 読み取り/書き込みにも多くの時間を要しません

ヘルプ？お時間をいただきありがとうございます。十分な一般情報を提供し、受け入れられている慣習に違反していないことを願っています。

関連する質問ボックスはとてもかっこいいので、投稿する前によく読んでみました。

アプリケーションのすべてのメソッドの先頭に次の行を挿入したい

コンパイル時、ビルド時、またはビルド後、基本的には顧客の手に渡る前に実行したいと思います。

これは可能ですか？