کلیک کنید: خرید VPN خرید وی پی ان خرید فیلتر شکن خرید فیلترشکن
خرید کریو خرید وی پی ان خرید VPN خرید فیلترشکن
آیا هیچ محیط ساندویچ وجود دارد که تجزیه و تحلیل در کد جاوا اسکریپت obfuscated انجام می شود؟
به عنوان مثال، من یک تکه کد JS obfuscated را اجرا میکنم که به طور کامل اجرا میشود، اما برای un-obfuscate غیرممکن است (آن را در چند سایت بسیار سعی کردم).
من می خواهم بدانم که چه متغیرهایی توسط این و چه عملیاتی بر روی داده های انجام شده انجام شده است.
آیا این امکان دارد؟
برای آنهایی که از شما میپرسند کد:
من یک مسئله دارم و خیلی مطمئن هستم که من در مورد آن نیستم.
من امیدوارم که چند راه عالی داشته باشم، امیدوارم ضد گلوله، برای جلوگیری از هر گونه مسائل، پس در اینجا این است.
من یک API ارائه می دهم که از طریق درخواست POST HTML را به PDF تبدیل می کند. هنگامی که مشتری من تبدیل می کند، آنها یک کلید API برای تأیید اعتبار آنها فراهم می کنند. تا کنون خیلی خوب است.
من فکر میکنم راهی برای اجازه دادن به این مشتریان برای انجام تبدیل به طور مستقیم از داخل مرورگر سرویس گیرنده خود، در جاوااسکریپت است.
حالا این امکان وجود دارد با انجام جاوااسکریپت XHR POST درخواست از جمله کلید API، اما مسئله امنیتی بزرگ در اینجا این است که کلید API آنها در معرض عموم است و بنابراین می تواند مورد سوء استفاده قرار گیرد.
سوال من ساده است:
چگونه می توانم امکان ارائه اسناد را مستقیما در داخل مرورگر بدون آسیب رساندن به حساب خود از طریق کلید API؟
بهترین ایده من تا کنون این است که اجازه دهم مشتریم چندین کلید API را ایجاد کند و آمار مربوط به تعداد چند تبدیل از آن کلید داشته باشد. علاوه بر این، آنها می توانند نشان دهند که کدام دامنه برای این کلید کار می کند، محدود کردن استفاده به یک دامنه خاص (مجموعه ای از) دامنه ها.
اما من می دانم که این یک گلوله نیست زیرا هر کدوم می تواند ارزش میزبان را در درخواست و دور زدن این "امنیت"
چگونه می توانم امنیت را در حین ارائه قابلیت ظاهری افزایش دهم؟
با تشکر از کمک شما
پاسخ: لوازم هوشمند
Java در اوایل دهه 1990 در Sun Microsystems به عنوان یک پروژه داخلی در نظر گرفته شد تا جایگزین زبان برنامه نویسی C ++ / C شود. این پروژه در اصل بلوط نامیده شد (پس از آن، به سادگی به اندازه کافی، درخت بلوط بزرگ در خارج از دفتر توسعه) و تیم تمرکز بر ایجاد نسل جدیدی از زبان برنامه نویسی برای لوازم هوشمند مانند جعبه های تعاملی کابلی
اولین تظاهرات جاوا پلت فرم نرم افزاری در عمل در اکتبر 1992 بود. تیم توسعه نشان داد PDA خانه محور که می تواند تنظیمات را در اطراف خانه کنترل و خودکار کند. این دستگاه Star7 (* 7) نامگذاری شده و یک تئاتر متحرک به نام دوک دیده شده است. پروژه Star7 (* 7) هرگز نور روز را نادیده نگرفت – کمی پیشتر از زمان آن بود – اما دوک به عنوان رسمی جاوا جا به جا شد.
تیم جاوا در حال توسعه و تنظیم یک مجموعه کامپیوتری بود -Top box به Time Warner که، اگر چه Time Warner برای چنین وسیله ای تماس برقرار کرده بود، توسط غول کابل رد شد. پس از شکست دادن علاقه به صنعت تلویزیون برای یک کامپیوتر از راه دور، جاوا طاقچه خود را پیدا کرد: مرورگرهای وب.
تیم ابتدا می خواست با جعبه های بالا کار کند زیرا آنها علاقه مند بودند با یک محیط بسیار تعاملی کار کنند در یک شبکه گسترده؛ به وضوح، اینترنت بسیار تعاملی بود و خیلی بیشتر به آن رسید. آنها یک مرورگر نمونه اولیه خود را به نام WebRunner ایجاد کردند که بعدها به HotJava تغییر نام یافت. تا سال 1995، Sun با Netscape همکاری کرده بود و Netscape Communicator با پشتیبانی از جاوا شروع به حمل و نقل کرد. بقیه، همانطور که می گویند، تاریخ است. محیط اجرای جاوا در حال حاضر در صدها میلیون رایانه و دستگاه های تلفن همراه یافت می شود و در مجموعه گسترده ای از برنامه های کاربردی از اپلت های ساده به بازی های کل مانند بازی های پرفروش Sandbox بازی Minecraft استفاده می شود.
Sun Microsystems.
به نظر می رسد که شما از چارچوب ارائه دهنده خدمات پرسیدید، در این صورت پاسخ ساده است:
به عنوان ارائه دهنده خدمات، شما نمی توانید از XSS در برابر همه محافظت کنید، و شما نیز ممکن نیست
به خاطر داشته باشید، من معمولا در "دفاع در عمق" بزرگ و قرار دادن در دیوارهای امنیتی در هر مرحله از راه است. با این حال من فکر می کنم این به معنای واقعی کلمه یکی از مکان هایی است که نگرانی شما در مورد آن نگران کننده نیست. دو دلیل وجود دارد:
1. با استفاده عادی، مشتری اجرای کامل کنترل درخواست را دارد، و بنابراین هیچ دلیلی برای انتظار بارهای بارز مانند این وجود ندارد
در مورد این واقعا نمی توان گفت خیلی بیشتر است، زیرا این چیزی نیست که شما در مورد آن نگران هستید. اما فقط بگو با صدای بلند: مشتری خود را ارائه تماس تلفنی JSONP، و بنابراین اگر آنها را انتخاب کنید از شما درخواست بازگشت جاوا اسکریپت واقعی، پس از آن است که دلیل زیادی برای شما وجود دارد که آنها را متوقف کند (به خصوص از آنجا که انجام این کار خواهد بود احمقانه و متاسفم که هر کسی زحمت میکشد) تنها زمانی که کسی ممکن است درخواست "خطرناک" را از سرور خود درخواست کند، این است که اگر مشتری از راه دور نقص XSS داشته باشد و جاوا اسکریپت مخرب سیستم خود را گرفته است. با این حال، اگر چنین اتفاقی بیفتد:
2. جاوا اسکریپت مخرب دارای کنترل کامل بر روی سرویس گیرنده از راه دور است و نیازی به اجرای جاوا اسکریپت دلخواه را ندارد
که به همان اندازه ساده است: اگر مهاجم یک حمله XSS را علیه یک مشتری با استفاده از سرویس خود مدیریت کرده باشد، لازم نیست جاوا اسکریپت مخرب را به callback تزریق می کند. آنها فقط می توانند روش Callback را در سرویس گیرنده محلی خود جایگزین کنند. در واقع، این بسیار ساده تر است. به عنوان یک نتیجه، به معنای واقعی کلمه هیچ دلیلی وجود ندارد که چرا کسی به دنبال استفاده از خدمات شما به عنوان یک نقطه پایانی تزریق XSS به مشتری از راه دور است. برای قرار دادن آن به سادگی:
اگر یک مهاجم یک حمله XSS علیه یک مشتری را با استفاده از سرویس خود مدیریت کرده است، پس از آن آنها قبلا برنده شده اند و هیچ دلیلی برای انتقال بارهای XSS به سرویس شما نیستند. این فقط بازتاب صفحه ای است که قبلا گرفته شده است.
من فکر می کنم ممکن است برخی از توسعه دهندگان وجود داشته باشد که با برخی از طرح های دیوانه (خطرناک) مطرح شده اند که در آن، ورودی کاربر در سایت آنها برای ساختن پاسخ فراخوان JSONP منتقل می شود به سرویس شما، و آن را به ضعف آسیب پذیری XSS درجه اول می شود. با این حال، هیچ دلیلی عملی وجود ندارد که چرا کسی هرگز چنین چیزی را انجام دهد (با استفاده از بسیاری از این نوع خدمات خودم، شما باید از راه خود برای راه اندازی چیزهایی که خطرناک است)، تا آنجا که من فکر می کنم ارزش صرف وقت خود را صرف تلاش برای محافظت از کاربران خود را از آن سطح silliness. شما بیشتر احتمال دارد به طور تصادفی عوارض جانبی منفی را به کاربران معمولی خود اضافه کنید تا از کسی محافظت کنید تا سطح برنامه ریزی ضعیف که لازم باشد برای این حفاظت در پایان شما انجام شود.
