• 陕西的影像纪录片 西部网图片频道定格征稿启事 2019-07-21
  • 喂,110吗?这里有个出警的小姐姐,我要曝光一下! 2019-07-18
  • 发改委:发放棉花进口滑准税配额数量80万吨   2019-07-18
  • 陈坤时隔九年《脱身》中重返荧屏 一人分饰两角有方法 2019-07-15
  • 2018年文化和自然遗产日专题 2019-07-15
  • 武汉首创应届生申请大学生租赁房 2019-07-14
  • 融众资本投资集团有限公司董事长谢小青获第十二届人民企业社会责任奖年度人物奖 2019-07-14
  • 感触名家笔下的端午文化吃香粽原来可以这样文艺 2019-07-12
  • 2018年保险业十大猜想:开门红新单保费或增长15% 2019-07-10
  • 世卫将“游戏障碍”列为新疾病 哪些症状可被确诊? 2019-07-09
  • 广西都安:微型客车隧道失控后被追尾 2019-07-09
  • 一周人事:国务院发布任免 中宣部两名副部长兼职公布 2019-07-07
  • 海口小球员王昌宇当入场旗手 亮相世界杯赛场 2019-07-07
  • 阅读使人明智 凤凰天悦下午茶引领新时代读书新风尚 ——凤凰网房产北京 2019-07-06
  • 进口汽车“乘坐”中欧班列抵达西安 2019-07-04
  • 贵州快三开奖结果查询:新秀网络验证系统

    快捷导航
    查看: 569|回复: 3
    打印 上一主题 下一主题

    [意见建议] 软件安全问题

    [复制链接]

    贵州11选5开奖结果查询 www.ckwr.net 签到天数: 15 天

    [LV.4]偶尔看看III

    1#
    跳转到指定楼层
    发表于 2019-5-20 16:33:22 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

    马上注册,结交更多好友,享用更多功能,让你轻松玩转社区

    您需要 登录 才可以下载或查看,没有帐号?立即注册

    x
    本帖最后由 BestCheat 于 2019-5-20 16:38 编辑

    其实关于新秀个人发现现在依旧不是很安全。
    还没有具体尝试,我就谈几个安全隐患的问题吧。

    首先就是 数据包过期问题
    因为我不是准们玩破解有些东西可能描述不是太清楚,只是简单介绍一下破解原理。
    这里就简单先用APP作为列子


    thor比较有名的ios封包拦截然后旧包模拟破解.


    破解方法:thor开启拦截app发出数据包之后保存,下次app启动时候就不会在去请求服务器直接调用thor拦截数据包进行返回给app
    同理可以用于exe 但是具体用什么工具实现本人不太清楚
    这个需要新秀的管理来处理一次性数据包过期还有就是网络验证最简单的克隆也就是host劫持因为API的接口是固定死的,所以很容易被劫持,破解只要购买对应的验证,抓取对应的数据即可完成操作。这个就需要新秀来处理如何api匿名。通过某个方法让每个的API都不一样之类的。这个是隐患最大的因为所有人的API接口都是一样的所以给破解提供了大大的帮助。即使我把数据丢服务器 下发的API我无法修改 那么这肯定是最大的风险。


    还有就是验证本地端与服务器端是不是一体的,比如RSA这个我看到新秀今天已经更新RSA验证。
    而且我不推荐新秀把加密全部固定化,或者说现在我不推荐,因为存在太多安全隐患了。
    没怎么深入研究新秀因为功能确实简陋了。
    我相信在未来新秀的大部分使用者均来自APP开发。
    客户端开发也许会存在但是大部分肯定都是用来开发APP的。
    因为exe的网络验证市场确实饱和了,不是说新秀不适合exe。只是市场确实太多。
    但是支持APP C+ C  C#这些语言的验证确实少数。
    所以我推荐新秀最好先优化自身功能....以上仅为个人观点,如果新秀的开发观念都不同的可以无视了。
    因为确实感觉简陋了,基本的多软件管理呀、下级管理、然后还有 子代理管理子代理那些功能确实现在都还没有。
    如果新秀想参考一个验证作为开发端点的话,就是哪些功能需要添加。
    我推荐参考可可、飘零不是再给这些验证打广告,只是这些验证确实功能比较完整。

    当然每个验证都有自己的优点,这里我只是说验证的功能而已。不评论验证好坏。


    分享到:

    签到天数: 34 天

    [LV.5]常住居民I

    2#
    发表于 2019-5-20 18:49:11 | 只看该作者

    感谢您的反??;
    首先:您所说的安全之定义每个人理解下来都会有所不一样。根据我的个人理解简单回复如下:
    第一:请不要把所有安全问题都归属于网络验证本身,因为你是要利用前端开发的软件让用户操作,而不是把验证的API接口直接给客户填写;
    第二:数据包一次性提交有效性这个问题,估计你没有了解token令牌的含义,token令牌就是一种按时间或者每次登陆都会销毁、重建的;
    第三:你所阐述的劫持、抓包、拦截等等一些情况,会通过固定的API接口进行无限提交这个问题:
         1、API接口本来就是明文,知道又何妨?逻辑处理全部在后端执行,前端除了传参数没有任何办法来操作他;
         2、API对外接口,所有开发者可以通过php的自定义类、或者易语言封装DLL来,重新自定义入口文件,如果你不会,可以百度下;
         3、后台强大的接口管理系统,你可以规定每个人、每个IP的访问次数,而不是忘我的无限提交。
    第四:本系统不会开发多级软件管理,没有子代理等等功能,如果想实现多软件请大家利用私人变量、远程变量扩展开发。
    第五:有安全方便好的建议和意见可以提出来。





    签到天数: 15 天

    [LV.4]偶尔看看III

    3#
     楼主| 发表于 2019-5-23 15:25:07 | 只看该作者
    admin 发表于 2019-5-20 18:49
    感谢您的反??;
    首先:您所说的安全之定义每个人理解下来都会有所不一样。根据我的个人理解简单回复如下 ...

    是这样,因为我也算是个个人开发者了,自己的东西经常被日烂。虽然不太清楚是如何具体操作的
    但是我知道个大概步骤。
    就说说我先说的host劫持吧。
    说明白一点,就是劫持你的exe,因为所有的API接口都是固定的,因为验证限制数据无法存放服务器也就是验证当中(如果新秀可以做到当我没说),我只需要劫持你的exe把所有的API接口改成我的,因为验证是公开出售的,这个问题无法避免,也就等于完全破解了。
    可能是新秀我了解的不太透彻,只是反馈一些我个人觉得的潜在威胁。
    我只是说验证本身的安全要比本地端重要许多,我用过市面上的验证,有些验证他后端本来就存在一些潜在威胁,或者这样说,验证公开出售以后,破解的有心者一定会研究你的东西一定会发现一个通杀的办法,可能通杀到本地端做到无缝可钻但是依然可以被破解,并不是说我把所有安全问题都让验证去处理,只是公开出售的验证自己安全肯定是相当重要的。

    签到天数: 34 天

    [LV.5]常住居民I

    4#
    发表于 2019-5-23 18:57:13 | 只看该作者
    API接口是固定的,不可能一人一个样;
    第一:你自己封装php文件class类,根据每个接口参数要求,自己重新封装(这个群里已经有人封装过);
    第二:你可以根据自己需求自定义封装一个dll库,以便自己随便调用(如果不会,去百度);
    第三:只要API接口功能逻辑没问题,其他的安全防范要在你软件层开发解决!
    如果您需要特殊定制,请联系客服QQ:3188639


    *滑动验证:
    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    快速回复 返回列表 客服中心 搜索 官方QQ群
    客服时间
    周一至周五:09:00 - 17:00
    客服不在线时,请留言,上线后立即回复!

    新秀网络验证是新一代简洁高效、云服务、独创功能融一体的新型管理收费框架系统,本框架专注于Discuz!二次开发规范要求,独立框架、代码分离、逻辑分离、独特加密、动态验证新型框架系统,专心服务客户。

    Powered by Discuz! X3.4 © 2018-2020 Comsenz Inc.

    Archiver|手机版| 贵州11选5开奖结果查询

    GMT+8, 2019-7-11 03:38 , Processed in 0.578125 second(s), 27 queries .

    快速回复 贵州11选5开奖结果查询 返回列表
  • 陕西的影像纪录片 西部网图片频道定格征稿启事 2019-07-21
  • 喂,110吗?这里有个出警的小姐姐,我要曝光一下! 2019-07-18
  • 发改委:发放棉花进口滑准税配额数量80万吨   2019-07-18
  • 陈坤时隔九年《脱身》中重返荧屏 一人分饰两角有方法 2019-07-15
  • 2018年文化和自然遗产日专题 2019-07-15
  • 武汉首创应届生申请大学生租赁房 2019-07-14
  • 融众资本投资集团有限公司董事长谢小青获第十二届人民企业社会责任奖年度人物奖 2019-07-14
  • 感触名家笔下的端午文化吃香粽原来可以这样文艺 2019-07-12
  • 2018年保险业十大猜想:开门红新单保费或增长15% 2019-07-10
  • 世卫将“游戏障碍”列为新疾病 哪些症状可被确诊? 2019-07-09
  • 广西都安:微型客车隧道失控后被追尾 2019-07-09
  • 一周人事:国务院发布任免 中宣部两名副部长兼职公布 2019-07-07
  • 海口小球员王昌宇当入场旗手 亮相世界杯赛场 2019-07-07
  • 阅读使人明智 凤凰天悦下午茶引领新时代读书新风尚 ——凤凰网房产北京 2019-07-06
  • 进口汽车“乘坐”中欧班列抵达西安 2019-07-04
  • 新疆35选7走势图500期 新时时彩技巧经验 浙江快乐彩彩票控 辽宁十一选五辽宁12选5 天天象棋闯关攻略35视频 北京赛车pk1o平台 两码中特期准免费资料 北京十一选五快速开奖走势 江西多乐彩走势图一定牛 山东群英会今日开奖查询 体彩7星彩单式规则 江苏快3和值遗漏数据 中超客场积分榜 香港赛马会公司十码中特 快速赛车下载