国产精品爱啪在线线免费观看_97视频精品_欧美精品一区二区在线播放_国产欧美久久一区二区三区

新秀網絡驗證系統

標題: 軟件安全問題 [打印本頁]
作者: BestCheat    時間: 2019-5-20 16:33
標題: 軟件安全問題
本帖最后由 BestCheat 于 2019-5-20 16:38 編輯

其實關于新秀個人發現現在依舊不是很安全。
還沒有具體嘗試,我就談幾個安全隱患的問題吧。

首先就是 數據包過期問題
因為我不是準們玩破解有些東西可能描述不是太清楚,只是簡單介紹一下破解原理。
這里就簡單先用APP作為列子


thor比較有名的ios封包攔截然后舊包模擬破解.


破解方法:thor開啟攔截app發出數據包之后保存,下次app啟動時候就不會在去請求服務器直接調用thor攔截數據包進行返回給app
同理可以用于exe 但是具體用什么工具實現本人不太清楚
這個需要新秀的管理來處理一次性數據包過期還有就是網絡驗證最簡單的克隆也就是host劫持因為API的接口是固定死的,所以很容易被劫持,破解只要購買對應的驗證,抓取對應的數據即可完成操作。這個就需要新秀來處理如何api匿名。通過某個方法讓每個的API都不一樣之類的。這個是隱患最大的因為所有人的API接口都是一樣的所以給破解提供了大大的幫助。即使我把數據丟服務器 下發的API我無法修改 那么這肯定是最大的風險。


還有就是驗證本地端與服務器端是不是一體的,比如RSA這個我看到新秀今天已經更新RSA驗證。
而且我不推薦新秀把加密全部固定化,或者說現在我不推薦,因為存在太多安全隱患了。
沒怎么深入研究新秀因為功能確實簡陋了。
我相信在未來新秀的大部分使用者均來自APP開發。
客戶端開發也許會存在但是大部分肯定都是用來開發APP的。
因為exe的網絡驗證市場確實飽和了,不是說新秀不適合exe。只是市場確實太多。
但是支持APP C+ C  C#這些語言的驗證確實少數。
所以我推薦新秀最好先優化自身功能....以上僅為個人觀點,如果新秀的開發觀念都不同的可以無視了。
因為確實感覺簡陋了,基本的多軟件管理呀、下級管理、然后還有 子代理管理子代理那些功能確實現在都還沒有。
如果新秀想參考一個驗證作為開發端點的話,就是哪些功能需要添加。
我推薦參考可可、飄零不是再給這些驗證打廣告,只是這些驗證確實功能比較完整。

當然每個驗證都有自己的優點,這里我只是說驗證的功能而已。不評論驗證好壞。


作者: admin    時間: 2019-5-20 18:49

感謝您的反饋;
首先:您所說的安全之定義每個人理解下來都會有所不一樣。根據我的個人理解簡單回復如下:
第一:請不要把所有安全問題都歸屬于網絡驗證本身,因為你是要利用前端開發的軟件讓用戶操作,而不是把驗證的API接口直接給客戶填寫;
第二:數據包一次性提交有效性這個問題,估計你沒有了解token令牌的含義,token令牌就是一種按時間或者每次登陸都會銷毀、重建的;
第三:你所闡述的劫持、抓包、攔截等等一些情況,會通過固定的API接口進行無限提交這個問題:
     1、API接口本來就是明文,知道又何妨?邏輯處理全部在后端執行,前端除了傳參數沒有任何辦法來操作他;
     2、API對外接口,所有開發者可以通過php的自定義類、或者易語言封裝DLL來,重新自定義入口文件,如果你不會,可以百度下;
     3、后臺強大的接口管理系統,你可以規定每個人、每個IP的訪問次數,而不是忘我的無限提交。
第四:本系統不會開發多級軟件管理,沒有子代理等等功能,如果想實現多軟件請大家利用私人變量、遠程變量擴展開發。
第五:有安全方便好的建議和意見可以提出來。





作者: BestCheat    時間: 2019-5-23 15:25
admin 發表于 2019-5-20 18:49
感謝您的反饋;
首先:您所說的安全之定義每個人理解下來都會有所不一樣。根據我的個人理解簡單回復如下 ...

是這樣,因為我也算是個個人開發者了,自己的東西經常被日爛。雖然不太清楚是如何具體操作的
但是我知道個大概步驟。
就說說我先說的host劫持吧。
說明白一點,就是劫持你的exe,因為所有的API接口都是固定的,因為驗證限制數據無法存放服務器也就是驗證當中(如果新秀可以做到當我沒說),我只需要劫持你的exe把所有的API接口改成我的,因為驗證是公開出售的,這個問題無法避免,也就等于完全破解了。
可能是新秀我了解的不太透徹,只是反饋一些我個人覺得的潛在威脅。
我只是說驗證本身的安全要比本地端重要許多,我用過市面上的驗證,有些驗證他后端本來就存在一些潛在威脅,或者這樣說,驗證公開出售以后,破解的有心者一定會研究你的東西一定會發現一個通殺的辦法,可能通殺到本地端做到無縫可鉆但是依然可以被破解,并不是說我把所有安全問題都讓驗證去處理,只是公開出售的驗證自己安全肯定是相當重要的。
作者: admin    時間: 2019-5-23 18:57
API接口是固定的,不可能一人一個樣;
第一:你自己封裝php文件class類,根據每個接口參數要求,自己重新封裝(這個群里已經有人封裝過);
第二:你可以根據自己需求自定義封裝一個dll庫,以便自己隨便調用(如果不會,去百度);
第三:只要API接口功能邏輯沒問題,其他的安全防范要在你軟件層開發解決!
如果您需要特殊定制,請聯系客服QQ:3188639






歡迎光臨 新秀網絡驗證系統 (http://www.5566wy.com/) Powered by Discuz! X3.5