問題タブ [tampering]

私の会社のクライアントの多くは、研究ベースでデータ取得ソフトウェアを使用しています。一般的な調査の性質上、改ざんを防ぐためにデータを暗号化するよう依頼するクライアントもいます。データが改ざんされていることが判明した場合、深刻な問題が生じる可能性があります。

一部のバイナリソフトウェアは、ソースに保存されているランダムな文字のようなパスワードで出力ファイルを暗号化します。ソフトウェア レベルでは、暗号化されたファイルを読み取り専用操作で開くことができます。誰かがデータを変更できるようにパスワードを本当に知りたい場合、それは可能ですが、大変な作業になります。

別のソフトウェアを迅速に開発するために Python を使用することを検討しています。暗号化の機能を複製してデータの改ざんを無効/抑止するために、これまでに思いついた最良のアイデアはctypes、ファイルの読み取り/書き込み操作に DLL を使用するだけで、暗号化と復号化の方法が「十分に」難読化。

「クラック不可能な」方法が実現不可能であることは十分承知していますが、同時に、暗号化/復号化のアプローチが Python のソース コードにプレーン テキストで記述されていることに満足していないことは明らかです。「データ改ざんの非常に強力な阻止」で十分だと思います。

Python を使用して、暗号化やその他のデータ整合性の証明の満足のいく媒体を達成するための最良のアプローチは何でしょうか? 「改ざん防止署名」の生成について話している別の投稿 を見ましたが、署名が純粋な Python で生成された場合、任意のデータの署名を生成するのは簡単です。データの完全性を証明するために家に電話することはできるかもしれませんが、それは関係者全員にとって大きな不便のようです.

Python (2.6) と mechanize (0.1.11) を使用して Web テスト スクリプトを作成しています。私が扱っているページには、次のような選択フィールドを持つ html フォームがあります。

機械化で、次のようなことを試してみると:

次に、エラーが発生します。ClientForm.ItemNotFoundError: insufficient items with name 'E'

「改ざんデータ」Firefox拡張機能を使用して、これを手動で行うことができます。Pythonと機械化でこれを行う方法はありますか? フォームに実際に送信したい値があることを機械化することをどうにかして納得させることはできますか?

長年のリスナー、初めての発信者。

'ユーザーアクティビティのログ記録を担当するデータベーステーブルがあるとします。このログの整合性は重要であるため、誰かがテーブルのデータを変更したかどうかを検出できるようにする必要があります。さらに面白くするために、この惨めなシステムを完全に制御している邪悪なSQL管理者によってシステムが操作されている可能性があるという事実も考慮してください。うわぁ...

データをどのように保護しますか？

誰かがあなたのデータを改ざんしたかどうかをどのように検出しますか？

無制限のツールを自由に使用できます。（つまり、ハッシュ、暗号化など）

ページからページへ安全にデータを渡し、改ざんの可能性を回避する方法を楽しみにしています。

• それを解決する最善の方法は、機密データを db サーバーに保存することです。
• または、db サーバーでセッション持続を使用します。
• または、db サーバーにデータを永続化する方法。

事実は、私がそのような方法を使いたくないというパフォーマンスのためです。

以下の方法が安全かどうかはわかりませんが、試してみたいと思います（でも、可能かどうかはわかりません）。

機密データを暗号化モードでビューステートに保存したいと思います。たとえば、tespage1.aspx でこれを取得し、testpage2.aspx から取得します。

どうすればこれを行うことができますか?それは安全ですか?

前もって感謝します

さまざまな国からのクライアントをシミュレートするために、HTTP 要求の送信元 IP アドレスを改ざんする必要があるテスト シナリオを満たしています。これに関するツールのヘルプを知っていますか?

最後になりましたが、当社の Web サイトは ASP.NET で構築されています。

ありがとう。

makecert を使用して一時的な証明書を作成し、cert2spc を使用して証明書から spc を作成しようとしました。生成された spc でいくつかの exe に署名しました。次に、VS 2008 のバイナリ エディターを使用して、exe の一部のビットを反転 (改ざん) します。驚いたことに、アプリケーションを実行できました。

システムが改ざんを検出して文句を言うだろうと思っていました。したがって、質問です。

任意のガイダンスをいただければ幸いです。

この質問が StackOverflow に属しているのか SuperUser に属しているのかはわかりませんが、ここでは何もありません...

個人の ASP.NET Web サイトでいくつかの基本的なセキュリティ問題をテストして、データの改ざん時にカスタム バリデータなどがどのように機能するかを正確に確認しようとしています。私は Firefox の拡張機能である TamperData を見てきました。

私が TamperData で抱えている問題は、POST データのテキスト ボックスが小さすぎて ASP.NET のビューステートを保持できないことです。そのため、そのデータを Emacs にコピーしてから、元に戻す必要があります。また、 from/to であるデータのみを改ざんするオプションがないように見えることも好きではありませんlocalhost。

タスクのより良い拡張機能またはそれをテストするためのより良い方法に関するアイデアはありますか?

メソッドや URL を変更して、リクエストの HTTP ヘッダーの最初の行を変更したいと考えています。

(優れた) Tamperdata Firefox プラグインを使用すると、開発者はリクエストのヘッダーを変更できますが、URL 自体は変更できません。この後半部分は、私ができるようにしたいことです。

だから何か...

GET http://foo.com/?foo=foo HTTP/1.1

...になる可能性があります...

GET http://bar.com/?bar=bar HTTP/1.1

コンテキストについては、URL を修正することでエラーを修正できるかどうかを確認するために、Flash からの誤ったリクエストを改ざん (修正) する必要があります。

何か案は？プロキシレベルで行う必要があるかもしれないもののように聞こえます。その場合、提案は？

ユーザーのマシンにファイルを設定するのではなく、Webサイトの訪問者（サブスクライバー）のCookie情報をデータベースに保存してみませんか。ええ、私は次の理由でばかげているように聞こえるかもしれません：

1. データの小さな「チャンク」について、すべてのユーザーのデータベース情報を維持することは困難です。

2. データベースサーバーがダウンしていると、データを取得するのが難しい場合があります。

3. 小さな情報ごとに、Webサーバーに対して継続的な要求が行われます。

私のポイントは、ユーザーのデータをクライアントのマシン上のファイルではなくデータベースに保存する場合、他の組織や他のサイト（またはハッカー）がユーザーのデータにアクセスできないようにすることで、クライアントにセキュリティを提供できるということです。クッキーからの情報。

さらに、ユーザーの活動や行動を追跡することができます。（つまり、データの改ざんなど、ユーザーが何をしているのか（クライアント側のアクティビティ）は実際にはわかりません。）

Ajaxのおかげで、Webサーバーにリクエストを継続的に送信するのが難しいと感じる場合は、そうではありません。これは私の立場をある程度サポートします：Ajaxを使用して非常に簡単にされたWebサーバーにリクエストを送信します。

では、ユーザーのマシンに小さなファイルを設定するのではなく、ユーザーの機密情報をデータベースに保存することをお勧めしますか？

具体的には、セッションについて話しているのではありません。

これは、私が設定した 5 つの論文を含むテスト エンジン アプリケーションです。5 つの php ページとして

お申し込みの流れ

ログイン.html

check.php // 資格情報が正しいかどうかを確認する

正しければ

main.php //ユーザーがこのページの「テストを受ける」をクリックすると、5 つの論文のうちの 1 つが表示されます...

しかし、ログインしたら、URLを必要なテストペーパーのURLに変更するだけです..ペーパー名r 1.php 2.php ....

どうすればこれを止めることができますか...??

これは正しいですか...私が言ったように5ページあります....

各ページにこのコードがあります....

セッション変数が設定されているかどうかを確認します....設定されている場合...それはすでにページにアクセスしたことを意味します...しかし、このコードは機能しません...変数 _SESSION['page' を使用しましたか? ] それを宣言する前に???