首页
学习
活动
专区
圈层
工具
发布
    • 综合排序
    • 最热优先
    • 最新优先
    时间不限
  • 来自专栏天存信息的专栏

    WEB安全新玩法 防护交易数据篡改

    iFlow 业务安全加固平台 可以将交易过程中产生的数据动态保存在后端,这样攻击者仅仅依靠篡改前端数据,是无法通过后端的数据检查的。 ----- 以某个购物网站为例,在接收客户提交订单时,网站直接使用了之前产生的数据,而这些数据是能够被攻击者篡改的。 一、依赖前端数据的原始网站 原始网站在用户提交订单时直接使用之前的金额数据,攻击者能够使用专用工具提交任意的金额数据。 [图4] 电商网站产生了这条订单记录,可以看到:它的金额为攻击者篡改过的值。 注意:上述会话中的 payment_amount 标志是保存在服务器端的 iFlow 存储中的,在浏览器端是看不到数据,更无法篡改的。

    2.7K20发布于 2021-06-24
  • 来自专栏娱乐心理测试

    使用Charles抓包并篡改返回数据

    二是自己后端返回的response拦截修改后再接收以达到测试临界数据的作用。三写脚本重复拦截抓取别人的数据. 数据 到此就已经完成了一次完整的,拉取接口,和获得数据。 这里有两点我想说下: ①就是如果这个App发的请求加密了或是RSA什么的,这个就算拦截了你也弄不到数据。 没有做任何加密的App,所以可以抓取到数据。以前试了拦截百度医生的就不行。他设置的是一分钟内能获取到数据,超过了1分钟这个复制过来的接口就取不到数据了。 篡改后台返回数据       因为这种做法可以让一个iOS前端的开发人员独立完成测试而不用拉过来一个后端一起联调。 成功显示 能来到这一步就说明已经完整的掌握了用青花瓷篡改返回数据测试App的技术。 这么做的意义: 这里只是简单的更改了一些数字,在页面显示更加直观。

    6.9K100发布于 2018-06-13
  • 来自专栏网站漏洞修复

    对于数据篡改的安全风险分析

    2.数据删除和数据丢失 数据可能被计算机系统故障或误操作故意或无意毁坏。这些数据可包括财务、组织、个人和审计跟踪信息。防御确保关键数据是多余存储和放置在多个位置。检测维护和审核数据删除的日志。 威慑保持对获取和管理数据的个人的教育和人事培训。确保数据所有者负责授权、控制数据数据丢失。一旦剩余风险密钥数据丢失,如果不恢复,将永远丢失。 3.数据损坏和数据篡改 由计算机或存储系统故障或存储系统故障引起的数据变化,以及由恶意个人或恶意软件引起的数据变化。欺诈数据修改也可能损害完整性。国防部在修改重要数据时使用版本控制软件维护其存档副本。 确保数据所有者负责表决权,控制数据数据损失。关于残余风险损害或破坏的数据可能会造成重大问题,因为有效和可靠的数据是任何计算系统的基石。 如果已经出现了数据篡改的问题,那么可以向网站安全公司求救来解决,国内像SINESAFE,绿盟,启明星辰,鹰盾安全,等等都是解决数据篡改的安全公司。

    3.2K20发布于 2020-08-11
  • 来自专栏后端开发随笔

    细说RESTful API安全之防止数据篡改

    通常可以使用MD5或SHA-1对API参数进行签名,在服务器端通过校验签名结果来验证数据是否被修改。 ? 当前时间戳以及access_token一起进行计算签名:sign=MD5(请求参数 + timestamp + access_token),服务器端接收到参数时,先进行签名验证,如果签名不正确,则说明数据被修改 但是,简单的MD5签名规则也可能被破解,攻击者只需要使用相同的规则即可轻松修改数据。 所以,建议在对参数进行签名时添加盐值。

    1.3K40发布于 2019-09-11
  • 来自专栏Coco的专栏

    前端如何防止数据被异常篡改并且复原数据

    举个例子: 中英文之间需要增加空格 正确: 在 LeanCloud 上,数据存储是围绕 AVObject 进行的。 错误: 在LeanCloud上,数据存储是围绕AVObject进行的。 在 LeanCloud上,数据存储是围绕AVObject 进行的。 完整的正确用法: 在 LeanCloud 上,数据存储是围绕 AVObject 进行的。 如果使用控制台修改,数据将会被恢复。 如果使用控制台修改,数据将会被恢复。 当然,我们不应该局限于这个场景,思考一下,这个方案其实可以应用在非常多其它场景,举个例子: 前端页面水印,实现当水印 DOM 的样式、结构、或者内容被篡改时,立即进行水印恢复 当然,破解起来也有一些方式

    1.4K40编辑于 2023-11-09
  • 来自专栏普通程序员

    MD5防止数据篡改的做法

    一、基本思路 最近做IM系统,移动端一个同学问我怎么防止App发出来的数据篡改(防止内容泄露更重要),我想到了“签名校验 ”的方法。 大致思路是把发送的数据(用src表示)和一段我们自己才知道的字符串(用key表示),通过一个算法变为一段签名文本(用sign表示)。 在服务器端接收到数据src和sign后,用相同的算法计算出签名文本(用sign1)表示。比较sign和sign1是否一致。如果一致表明数据(src)没有被篡改。 方便比较,且不至于大量消耗内存空间 3、抗修改,对原数据进行任何改动,哪怕只修改1个字节,得到的sign值都有很大区别 4、强抗碰撞(不可逆),知道sign,想反解出src和key不可能或非常困难。

    2.4K30发布于 2019-10-23
  • 来自专栏人工智能前沿讲习

    【他山之石】图像篡改数据集汇总及下载

    splice篡改数据集较小,有183张篡改图片,图片分辨率高。 /sh/786qv3yhvc7s9ki/AACbEEzGPrD3_y38bpWHzgdqa? 数据集具体指标和下载地址:https://pkorus.pl/downloads 04 Coverage copy-move篡改数据集。100对篡改图片及原图。分辨率一般般。 06 自制篡改数据集 最先看到给出自制篡改数据集的制作方法是从rgb-net那篇论文(不知道是不是首创,反正我是先看到那篇的)【CVPR 2018】Learning Rich Features for 篡改数据集的具体实现建议去学习一下上面提到的Learning Rich Features论文的github源码,生成数据集的代码写的很清晰,对自制篡改数据集很有启发性: https://github.com

    3.8K20发布于 2021-04-28
  • 来自专栏一个小程序员的成长笔记

    篡改对象

    JavaScript多人开发协作过程中,很可能会意外篡改他人代码。防篡改对象,通过不可扩展、密封、冻结来解决这个问题。 需要特别注意的是:一旦把对象定义为防篡改,就无法撤销了。 person = { 2 name: "Person Name" 3 } 4 Object.preventExtensions(person); 5 6 person.age = 29; 7 1 var person = { 2 name: "Person Name" 3 } 4 Object.seal(person); 5 6 person.age = 29; 7 1 var person = { 2 name: "Person Name" 3 } 4 Object.freeze(person); 5 6 person.age = 29; 7

    1.7K20发布于 2019-07-08
  • 来自专栏debugeeker的专栏

    网页防篡改专题1---网页防篡改方案探索

    网页被篡改,一般是指网站的页面被挂马或内容被修改。它的危害,轻则误导用户,窃取用户数据,收集用户私隐,造成用户在金钱和名誉上的损失,进而影响网站所属公司的声誉,造成股价下跌,重则导致政治风险。 那么,网页被篡改的危害如何消除呢?先从网站的数据流角度来看这个问题。 ? 从上图来看,网页被恶意篡改有三条路径: 站点页面被恶意篡改 CDN同步了被恶意篡改的页面 CDN上内容被恶意篡改 其中1,2是相连的。由于站点页面也会有正常的版本更新。

    2.7K20发布于 2019-08-01
  • 来自专栏JS菌

    使用 git 篡改历史

    使用 git 篡改历史 ? olideMacBook-Pro.local> Date: Thu May 9 23:20:09 2019 +0800 echart how to use commit 3358a5fd3078d7fb6794d8c2d468054db300a46f oli <oli@olideMacBook-Pro.local> Date: Wed May 1 11:26:12 2019 +0800 edit Readme.md commit c0b7ac77431ceb270b5f0aa0f97b13a79afca4b9 Date: Wed May 1 02:25:40 2019 +0800 init 假设我们需要修改第二条纪录中的项目的文件,那么之行命令: git rebase 3358a5fd3078d7fb6794d8c2d468054db300a46f

    1.1K10发布于 2019-05-16
  • 来自专栏FreeBuf

    详解MBR篡改技术

    5、数据(DATA)区 数据区位于DIR区之后,用于存储真正的用户原始数据。 0×02 MBR引导原理 计算机在按下电源键键以后,开始执行主板bios程序。进行完一系列检测和配置以后。 0×04 偷梁换柱——篡改MBR 我们成功的破坏了MBR,既然Bios将控制权交给了MBR执行,我们岂不是可以利用MBR做一些其他事。 .copy lodsb xor al, 0xA6 ;备份的MBR数据进行解密操作 mov [si-0x201], al ;将还原的MBR装载到内存0x7C00处 cmp si, 0x7E00 + payload_len jl .copy sti jmp 0:0x7C00 ;跳转到0x7C00内存处开始执行还原的MBR,从而正常启动操作系统stage2end:pwned: db 206, 193, 209, 163, ,我们可以利用修改MBR代码的方式实现病毒程序的持久化,而且这种形式的持久化方式是不依赖于操作系统,更加隐蔽难以察觉,因此部分杀毒软件也紧盯MBR扇区,利用多种技术对MBR扇区进行了写保护,防止病毒的篡改侵蚀

    2.2K20发布于 2019-06-18
  • 来自专栏网站漏洞修补

    网站存在漏洞被入侵篡改数据怎么处理

    Laravel REC漏洞的利用是需要条件的,必须满足APP_KEY泄露的情况下才能成功的利用与触发,我们SINE安全技术在整体的漏洞测试与复现过程里,共发现2个地方可以导致网站漏洞的发生,第一个是Post数据包里的 我们来搭建一下网站漏洞测试的环境,使用linux centos系统,PHP5.5版本,数据库是mysql,使用apache环境来搭建,使用的Laravel版本为5.6.28.首先我们去官方下载该版本,并解压到 apache设置的网站目录路径.首先我们post数据过去可以看到我们代码里,会调用十几个类,并将类里的对象进行调用,参数赋值,而在cookies和verifycsrftoken值里发现可以使用app_key

    2.2K20发布于 2019-11-12
  • 来自专栏FreeBuf

    Swissknife:脚本化的数据生成与篡改VSCode扩展

    关于Swissknife Swissknife是一个脚本化的VSCode扩展,可以帮助广大研究人员生成或修改数据,并防止在Web页面中泄露敏感数据

    1.7K40发布于 2021-05-20
  • 来自专栏Laikee Tech Space

    内核级防篡改

    网页被恶意篡改会影响用户正常访问网页内容,还可能会导致严重的经济损失、品牌损失甚至是政治风险。 需求及实现 网页防篡改可实时监控网站目录并通过备份恢复被篡改的文件或目录,保障重要系统的网站、系统信息不被恶意篡改,防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。 防篡改支持将Linux服务器进程加入白名单,可实现进程级、目录级、文件类型的系统防护。 流程 image.png 技术实现 系统底层操作劫持 防篡改模块的本质其实和rootkit类似,但不同的是,rootkit最后的目的是隐藏后门以及防止被发现入侵,而防篡改的目的是防护系统的文件操作。 = 7){ printk(KERN_ERR "%s %s. current ko is not compatible for this os version.

    3K20编辑于 2022-04-25
  • 来自专栏leon的专栏

    Cookie防篡改机制

    一、为什么Cookie需要防篡改 为什么要做Cookie防篡改,一个重要原因是 Cookie中存储有判断当前登陆用户会话信息(Session)的会话票据-SessionID和一些用户信息。 再次发起请求,则服务器接收到请求后,会去修改username为pony的数据。 这样,就暴露出数据被恶意篡改的风险。 三、防篡改签名 服务器为每个Cookie项生成签名。 如果用户篡改Cookie,则与签名无法对应上。以此,来判断数据是否被篡改。 算法得到的签名666和请求中数据的签名不一致,则证明数据篡改。 四、敏感数据的保护 鉴于Cookie的安全性隐患,敏感数据都应避免存储在Cookie。 应该根据SessionID,将敏感数据存储在后端。取数据时,根据SessionID去后端服务器获取即可。 另外,对一些重要的Cookie项,应该生成对应的签名,来防止被恶意篡改

    3.1K71发布于 2019-08-28
  • 来自专栏数安视界

    加密的数据还能被篡改?用AEAD 拯救你的数据安全

    你是不是觉得只要对数据加密后数据就一定不会被篡改了?那你就大错特错了。 ====== def aes_cbc_encrypt(plain_data: bytes , key: bytes , iv: bytes) -> bytes: """CBC加密(需要PKCS7填充 )""" # 添加填充 padder = padding.PKCS7(128).padder() padded_data = padder.update(plain_data) 这些关键系统如果只用传统加密,那么数据被恶意篡改的风险极高。 划重点:什么是AEAD? 真正的安全不是相信数据未被篡改,而是能证明它未被篡改

    1.2K21编辑于 2025-06-04
  • 来自专栏AIoT技术交流、分享

    CAN通信如何防止数据篡改与中间人攻击

    2 防止数据篡改的技术 数据篡改攻击主要指通过恶意节点篡改在CAN总线上传输的数据包,影响系统的正常运行。 工作原理:通过在数据帧中附加一个校验值,接收方可以使用相同的算法和密钥来计算消息的完整性,并与附加的校验值进行比对。如果消息在传输过程中被篡改,计算出的校验值将不匹配,接收方便能检测到数据篡改。 2.2 加密保护 数据加密是防止数据被恶意篡改或泄露的另一重要手段。 加密可以确保数据即使在传输过程中被截获,攻击者也无法读取或篡改内容。 工作原理:发送方对数据与密钥进行加密生成MAC值,接收方使用同样的密钥来计算收到数据的MAC值并与发送的MAC值对比。若一致,数据未被篡改;否则认为数据篡改。 优点:防篡改能力强,特别适用于保护数据完整性。 缺点:需要密钥共享,且密钥管理的安全性很关键。

    94610编辑于 2025-04-27
  • 来自专栏网站漏洞修复

    解决网站首页老是被篡改经常反复被篡改跳转的问题

    网站首页被篡改说明你网站程序有漏洞导致被上传了脚本后门木马 从而进行篡改内容被百度收录一些BC内容和垃圾与网站不相关的内容,建议找专业做安全的来进行网站安全服务漏洞检测与修补以及代码安全审计,清理网站后门和恶意代码 对网站的影响非常大 处理方法:先把可疑的文件 查看下修改时间 对比下 自己本地的备份文件 是否有多余的文件 如果有的话就删除,再看下首页有无被修改 有的话就用备份替换上传上去,但只能解决一时 还是会被反复篡改 一般情况下对方都是通过工具批量扫描有漏洞的网站,利用漏洞进入数据库植入代码的,有牛逼的直接拿到网站管理权进入后台直接修改或者拿到FTP账号上传文件。或者有目的性的入侵指定网站拿到管理权。 很少有这种情况出现的,可能是遇到新手黑客练手玩玩,对于这种线下,我们得做好以下几个对策,如果对程序代码不懂得话可以咨询下专业做安全的公司来处理解决,国内安全公司如Sinesafe,绿盟,启蒙星辰等等 6、网站备份保存数据 以前我是每天备份一次,在后来每周备份一次,在后来就是半年看一次,现在都忘记了多久没备份了,我建议数据库每天备份一次,文件每周备份一次.

    4K20发布于 2019-07-24
  • 来自专栏网站漏洞修补

    会员金额数据篡改 如何查找漏洞并修复

    某一客户的网站,以及APP系统数据篡改,金额被提现,导致损失惨重,漏洞无从下手,经过朋友介绍找到我们SINE安全公司,我们随即对客户的网站服务器情况进行大体了解.建议客户做渗透测试服务.模拟攻击者的手法对网站存在的数据篡改漏洞进行检测与挖掘 我们抓取上传的数据包,并进行修改,将恶意的SQL注入代码写入到数据包中,将头像的图片内容进行修改提交过去,发现服务器返回错误,原因是对图片的内容进行了解析操作,并将上传的路径地址写入到了数据库,而这个写入数据库的图片路径地址 很容易让攻击者猜解到,使用SQL注入漏洞获取到的管理员账号密码.登陆后台,上传webshell,查到数据库的账户密码,进行连接,修改数据库. 首先对SQL注入漏洞,我们SINE安全建议大家对图片的路径地址写入到数据库这里,进行安全过滤,对于一些特殊字符,SQL注入攻击代码像select,等数据库查询的字符进行限制,有程序员的话,可以对路径进行预编译 剩下的就是任意文件上传功能的漏洞修复,修复办法是对上传的文件名,以及文件格式做白名单限制,只允许上传jpg.png,gif,等图片文件,对上传的目录做安全设置,不允许PHP等脚本文件的执行,至此客户网站数据篡改的原因找到

    1.5K00发布于 2019-11-17
  • 来自专栏FreeBuf

    篡改JWT实现账户劫持

    就比如用其它邮箱注册了一个测试用户(假设为Victim),从账户信息中可以看到其用户id为:jyAzV7KhT,然后我用之前我的attacker@attacker.com发起密码重置请求,然后从我的邮箱 JWT的重置链接,如下: 把该JWT放到https://jwt.io/的JWT解码工具中解密,在右边Decode区域得出具体的JWT三部分内容,接着,把其中的id更改为Victim账户的id:jyAzV7KhT 漏洞原因 目标网站在客户端进行JWT的生成,这样一来,就可导致JWT可被客户端篡改的风险,安全的方式是把JWT放到服务端生成。

    2.2K10发布于 2020-06-03
领券