私は自分の Web サイトに関するセキュリティやその他の作業を行っています。
私の国では、オンライン決済はペイパルのように機能します。
Amount、MerchantID、ReturnURL、ResNum(OrderID) などのパラメータを銀行に郵送する必要があることを意味し、銀行は支払い後に MID、Status、ResNum などのパラメータを渡します。
この要求と応答の間に、だれかが次のソフトウェアを使用して盗聴と改ざんを行うことができます:
http://www.fiddler2.com/fiddler2/
このビデオをご覧ください:
http://www.fiddler2.com/fiddler/help/video/
iテストすると、証明書を使用して https でも動作します。
おお...

1. このスニッフィングと改ざんを防ぐにはどうすればよいですか?
   銀行サイトには、支払い後に売り手側で呼び出される VerifyTransaction という名前の関数があり、この関数は金額を返します。
   この機能は、銀行側の Web サービスにあります。
   主な質問は次のとおりです。
2. 誰かが銀行と販売者の間の Web サービスを傍受して改ざんすることはできますか?
   フィドラーがそれまたは他のツールを実行できることを意味しますか?
   はいの場合、このスニッフィングと改ざん (Web サービス) をどのように防ぐことができますか?

注目してくれて本当にありがとう

ユーザーがスリープ状態の Android スマートフォンのハードウェア ボタン (または少なくともホーム ボタンと電源ボタン) を押したときを検出したいと考えています。

これまでは、ACTION_SCREEN_ON イベントに BroadcastReceiver を使用してきました。これはうまく機能しますが、メッセージ、電話、またはアラームの開始時などにも発生します。

ACTION_USER_PRESENT もオプションではありません。これは、ユーザーが実際に存在し、ロック解除コードを知っている場合にのみ発生するため、電話を改ざんしていないためです。

それを処理する方法はありますか？

既存のアプリに「オブジェクト」を追加するにはどうすればよいですか?

たとえば、Chrome の微調整の EasyRefresh は、他の多くの微調整と同様に、iOS Chrome アプリ内の新しいボタンを有効にします。

UIButtonたとえば、Twitter アプリに簡単に追加するにはどうすればよいですか?

それがどのように行われたかを理解するのに役立つかもしれないGitHubプロジェクトはありますか?

画像ソース: ModMyI

ありがとう。

クエリ文字列パラメータをテストできます。

しかし、クエリ文字列がまったくないことをどのように回避できますか？つまり、ユーザーが各フォルダーまたはサブフォルダーにアクセスできるようにしたいのです。preventthe root

クエリ文字列（ページ拡張子まで）を削除するcannot perform runtime binding on a null referenceと、コードの次の部分がまだ実行されているため、エラーが発生します。

redirect代わりに、私はユーザーに400 BAD REQUEST：になってもらいたいです。

本番環境で NULL ポインター例外が発生しました。ローカル システムで実行時例外を複製しようとしています。私は実際に投稿パラメータを傍受するためにfire fox改ざんツールを使用しています。改ざんウィンドウに NULL 値を入力し、サーバー側のコードにリクエストを送信しました。

Post パラメータは ccNumber 、 ccYear 、 ccMonth です。これらの変数はすべて JSP ページで定義されます。これはかなり前に開発されたレガシー コードであるため、jsp には非常に多くのスクリプトレット コードが含まれています。

ユーザーがクレジット カード番号、月、年のフィールドを送信した後の Web ページ ページで、AJAX を使用してパラメータを以下の JSP ページにポストします。私は実際にfire fox改ざんデータを使用してリクエストパラメータを傍受し、これらすべての値をnullに設定して改ざんデータを送信しています..しかし興味深いことに、値はJSPページでnullとして来ていますが、ccNumberを使用するとNULLポインタ例外をスローしませんでした.length () method 、代わりに長さを4として表示します。改ざんツールウィンドウで正しい値を設定していますか?? パラメータ値を null に変更したところですが、これは正しくないのでしょうか?

JSPページで値がnullにならないのはなぜですか??

Payment.jsp

PHP の初心者です。サイトの改ざんを防止しようとしています。誰かがブラウザのアドレスバーの URL を変更した場合、ページの URL をリロードしたいと考えています。私が考えた 1 つの方法は、必要に応じて再利用できるように、ページの URL をセッション変数に格納することです。
次のページの URL は、ユーザーの選択に基づく SQL クエリから取得されるため (何十もの選択肢がある可能性があります)、その URL がどのようなものになるかは事前にわかりません。私がやりたいのは、ユーザーがリンクをクリックしたときにサーバーに送信されるアドレス (リンクにカーソルを合わせたときに Firefox が左下隅に表示するアドレス) を回復し、それをセッション変数に保存することです。 . これは可能ですか?そうであれば、どうすればPHPで回復できますか?

Firefox で Tamper Data を使用してポスト リクエスト パラメータを改ざんできます。つまり、ポスト リクエストを作成し、Firefox でポップアップを取得して POST リクエスト パラメータを変更するときに、GET リクエストの場合はポップアップを取得しますが、変更する方法はありません。リクエストパラメータ。

質問は、Tamper Data/Fiddler を介してリクエスト パラメータを変更できないかということです (はい、ブラウザのアドレス バーから変更できることに同意しますが、最初のリクエストが発せられたら適用できますが、非常に一部のデータを改ざんしたいです。最初の Get Request ですので、Tamer Data/Fiddler で GET リクエストのパラメータを変更したいのですが、可能ですか?)

ユーザー認証に次のコードを使用しています

これは、認証に非常に適しています。ログインに成功したら、ユーザーのタイプに応じてユーザーをエリアにリダイレクトします。エリア内のすべてのコントローラーは、ベース コントローラーを実装します。最近、次の理由により、これが効果的ではないことがわかりました。ユーザーとしてログインすると、URL は ~/AppName/User/User/ViewName になります。しかし、URL を改ざんして ~/AppName/Admin/Admin/ViewName に変更すると、管理者ユーザーでなくてもそのページに移動します。まだユーザーとしてログインしていますが、すべての管理機能にアクセスできます。基本的に、URL のユーザー タイプを変更すると、そのユーザー タイプと見なされます。ただし、意図した動作は、このような URL 改ざんが発生したときに、ユーザーをログイン ページにリダイレクトすることです。ベースコントローラーでユーザータイプの変更を認識し、ユーザーをログインページにリダイレクトするようなことはできますか? これを行う正しい方法を示してください...

としてマークされ、サーバー側required="true"でカスタムを持つ入力テキスト コンポーネントを含むページがあります。Validator

ここでクライアントとして、そのコンポーネントによってレンダリングされた HTML 要素なしでページを送信します (これは、ブラウザーの組み込み DOM 要素インスペクターを使用して DOM ツリーから要素を削除することで簡単に実現できます)。この必須コンポーネントのサーバー側検証なしで、フォームは正常に送信されます。

これは JSF 仕様に従っていますか? 投稿されたページにバリデーターが含まれていなくても、ページ内のバリデーターが実行されるように指定する方法はありますか?