問題タブ [tampering]

$_SERVER['PHP_SELF'] を使用して php ファイルの名前を取得するために $_SERVER 変数配列の内容を信頼することで、大きなセキュリティ リスクを負うことになりますか?

クエリ文字列が「改ざんされた」場合に備えて、クエリ文字列の「チェック」とログを追加したいと考えています。特定のページの Page_Init イベントは、ASP.Net ページのライフサイクルでそれを行うのに適切な場所ですか?

データベースに監査テーブルがあります。このテーブルへの記録は、トリガーを使用して行われます。

現在、ユーザーがデータベース サーバーにログオンし、管理スタジオからテーブルを開き、監査テーブルのデータを変更することを妨げるものは何もありません。

監査データの改ざんを防止 (または少なくとも検出) できるメカニズムにはどのようなものがありますか?

その行に入力された値に基づいて計算されたハッシュを含む必要がある監査テーブルに1つの列を追加することを考えています。ただし、監査はトリガーを使用して行われるため、悪意のあるユーザーは任意のトリガーを開いて、このハッシュが計算されるロジックを見ることができます。

編集：

私は十分に明確ではありませんでした。アプリケーション ユーザーにはデータベースへのアクセス権がありません。データベースに対する適切な権限を持つDB管理者のようなユーザーを指していました。それでも、この DB 管理者がログインし、監査テーブルを調整する権限を持っている場合、少なくともこの改ざんを検出するメカニズムが必要です。

I am co-developing a simple web app in Rails 3.0.9 and I have realized that there is a possible session_id tampering possible via malicious request. Mind the fact, that this is my first RoR application, so I could be totally wrong in my conceptions.

Current application functionality requires sessions so I turned to ActiveRecordStore session storage, installed it and started testing in primitive workflows. I noticed that Rails framework creates cookie with the name _session_id and value of some random hash-like string (in DB SESSION table this string corresponds to session_id column).

If that value in the cookie is changed, for example with Firebug, current session id changes to one provided with cookie's data (inspected with request.session_options[:id]), and the change is propagated to the database table, creating new session record with aforementioned parameters.

While this brings no implications on a variables of the session, the session id have deviated from its usual hash-like appearance to a user tampered one.

Here is the question - how this behavior can be detected or preferably prevented?

.Net アプリケーションに接続の改ざん防止を実装する最良の方法は何ですか。たとえば、アプリケーションがサーバーに送信しているものを誰にも見られたくない..または、少なくともサーバーに送信されたデータを暗号化する..

今、単純なアイデアが頭に浮かびましたが、アプリケーションがサーバーに送信しているものを理解するのを難しくするためにそれが正しいことかどうかはわかりません..とにかく、私の考えはSSL証明書を使用するには..接続の改ざんを防ぐ良い方法ですか?

アイデアや提案をいただければ幸いです..

たとえば、MySQL、SQL Server、または Oracle などのデータベースを持つアプリケーションがあるとします。そして、データベースへの管理者アクセス権限を持つデータベース管理者や監査管理者など、複数の人がいると仮定しましょう。誰かがレコードを変更し、監査証跡を変更したとしましょう (彼らは管理者権限を持っているので、データベースに対して何でもできると思いますが、間違っている場合は修正してください)。

これを検出する他の方法はありますか？監査証跡を変更すると、データベース レコードの改ざんが隠蔽されるためです。

これに対する解決策を提供しているデータベース ベンダーはありますか? これは、データベース フォレンジックの監査ログの改ざん検出に該当すると思います。

いくつかのユーザーデータを使用してフォーム認証チケットを生成し、暗号化して、すべて標準の.netApiを使用してクライアントに送信します。1つの小さな問題を除いて、すべてが機能します。認証チケットの0をGとZの間のアルファベット（大文字）に置き換えても、それは機能します-正常に復号化され、すべてのユーザーデータとすべてを認証チケットから取得します。これは正しく起こらないはずですか？認証チケットを少し変更しても、復号化が正しく機能しないはずですか？その他の変更により、チケットが復号化されず、例外がスローされます。

他の Web サイトにアクセスするために使用するポータルがある場合。

portal があるとしますA。そして、私はウェブサイトにアクセスしたいB。

Bのように機能するために重要な情報が必要な場合username。これらの情報を安全に渡したい。

だから私はこのようなフォームを作ります:

クライアントがポータル内のリンクをクリックAすると、このフォームに送信されます。

Web サイトごとに 1 つのフォーム。

私の質問は、これらのデータを保護し、改ざんを防ぐ方法についてです。

Play フレームワークで構築されたhttp://wwww.trademango.comの最初のパブリック アルファ リリースを開始した後。私は、誰かまたは何か (ボットなど) によって Web パラメータの改ざんが試みられた経験があります。これらの試みは、しばらくの間続いています。セキュリティの強化を検討しています。owsap のようなツールを Playframework と統合した経験のある人がいるかどうか疑問に思っていました。このような攻撃に対して他の人々が何をしているかについて、コミュニティからのフィードバックを得たいと思います。

以下は、実際に行われている Web パラメータの改ざんの試みの一部です。

The Web Application Hacker's Handbookを読みながら、自分の Web サイト (ASP.NET MVC3) で小さなテストを作成しようとしました。

2 つのフィールドを含むモデルがあります。最初のフィールドは無効なドロップダウンリストです。2 つ目は有効化されたテキスト フィールドです。最初のフィールドは View.chtml から無効化さ new {disabled="disabled"}れ、パラメーターとして追加されます。

これが私に起こったことです.Burp Suiteツールをプロキシとして実行し、応答をトラップしました. 応答では、HTML から属性を削除してdisabled="disabled"から、応答をブラウザーに転送しました。明らかに、ページには 2 つの有効なフィールドがあります。

問題は、 Burp Suiteなどのツールを使用してフィールドの改ざんを防ぐ方法です。