设为首页收藏本站

 找回密码
 立即注册
搜索
新秀网络验证系统»首页 ☆=〖新秀网络验证DZ3.4 - 停止更新〗=☆ 开发交流 软件安全问题
返回列表 发新帖
查看: 8810|回复: 3

[意见建议] 软件安全问题

[复制链接]
BestCheat
发表于 2019-5-20 16:33:22 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区

您需要 登录 才可以下载或查看,没有账号?立即注册

×
本帖最后由 BestCheat 于 2019-5-20 16:38 编辑

其实关于新秀个人发现现在依旧不是很安全。
还没有具体尝试,我就谈几个安全隐患的问题吧。

首先就是 数据包过期问题
因为我不是准们玩破解有些东西可能描述不是太清楚,只是简单介绍一下破解原理。
这里就简单先用APP作为列子


thor比较有名的ios封包拦截然后旧包模拟破解.


破解方法:thor开启拦截app发出数据包之后保存,下次app启动时候就不会在去请求服务器直接调用thor拦截数据包进行返回给app
同理可以用于exe 但是具体用什么工具实现本人不太清楚
这个需要新秀的管理来处理一次性数据包过期还有就是网络验证最简单的克隆也就是host劫持因为API的接口是固定死的,所以很容易被劫持,破解只要购买对应的验证,抓取对应的数据即可完成操作。这个就需要新秀来处理如何api匿名。通过某个方法让每个的API都不一样之类的。这个是隐患最大的因为所有人的API接口都是一样的所以给破解提供了大大的帮助。即使我把数据丢服务器 下发的API我无法修改 那么这肯定是最大的风险。


还有就是验证本地端与服务器端是不是一体的,比如RSA这个我看到新秀今天已经更新RSA验证。
而且我不推荐新秀把加密全部固定化,或者说现在我不推荐,因为存在太多安全隐患了。
没怎么深入研究新秀因为功能确实简陋了。
我相信在未来新秀的大部分使用者均来自APP开发。
客户端开发也许会存在但是大部分肯定都是用来开发APP的。
因为exe的网络验证市场确实饱和了,不是说新秀不适合exe。只是市场确实太多。
但是支持APP C+ C  C#这些语言的验证确实少数。
所以我推荐新秀最好先优化自身功能....以上仅为个人观点,如果新秀的开发观念都不同的可以无视了。
因为确实感觉简陋了,基本的多软件管理呀、下级管理、然后还有 子代理管理子代理那些功能确实现在都还没有。
如果新秀想参考一个验证作为开发端点的话,就是哪些功能需要添加。
我推荐参考可可、飘零不是再给这些验证打广告,只是这些验证确实功能比较完整。

当然每个验证都有自己的优点,这里我只是说验证的功能而已。不评论验证好坏。


回复

使用道具 举报

admin
发表于 2019-5-20 18:49:11 | 显示全部楼层

感谢您的反馈;
首先:您所说的安全之定义每个人理解下来都会有所不一样。根据我的个人理解简单回复如下:
第一:请不要把所有安全问题都归属于网络验证本身,因为你是要利用前端开发的软件让用户操作,而不是把验证的API接口直接给客户填写;
第二:数据包一次性提交有效性这个问题,估计你没有了解token令牌的含义,token令牌就是一种按时间或者每次登陆都会销毁、重建的;
第三:你所阐述的劫持、抓包、拦截等等一些情况,会通过固定的API接口进行无限提交这个问题:
     1、API接口本来就是明文,知道又何妨?逻辑处理全部在后端执行,前端除了传参数没有任何办法来操作他;
     2、API对外接口,所有开发者可以通过php的自定义类、或者易语言封装DLL来,重新自定义入口文件,如果你不会,可以百度下;
     3、后台强大的接口管理系统,你可以规定每个人、每个IP的访问次数,而不是忘我的无限提交。
第四:本系统不会开发多级软件管理,没有子代理等等功能,如果想实现多软件请大家利用私人变量、远程变量扩展开发。
第五:有安全方便好的建议和意见可以提出来。





回复

使用道具 举报

BestCheat
 楼主| 发表于 2019-5-23 15:25:07 | 显示全部楼层
admin 发表于 2019-5-20 18:49
感谢您的反馈;
首先:您所说的安全之定义每个人理解下来都会有所不一样。根据我的个人理解简单回复如下 ...

是这样,因为我也算是个个人开发者了,自己的东西经常被日烂。虽然不太清楚是如何具体操作的
但是我知道个大概步骤。
就说说我先说的host劫持吧。
说明白一点,就是劫持你的exe,因为所有的API接口都是固定的,因为验证限制数据无法存放服务器也就是验证当中(如果新秀可以做到当我没说),我只需要劫持你的exe把所有的API接口改成我的,因为验证是公开出售的,这个问题无法避免,也就等于完全破解了。
可能是新秀我了解的不太透彻,只是反馈一些我个人觉得的潜在威胁。
我只是说验证本身的安全要比本地端重要许多,我用过市面上的验证,有些验证他后端本来就存在一些潜在威胁,或者这样说,验证公开出售以后,破解的有心者一定会研究你的东西一定会发现一个通杀的办法,可能通杀到本地端做到无缝可钻但是依然可以被破解,并不是说我把所有安全问题都让验证去处理,只是公开出售的验证自己安全肯定是相当重要的。
回复

使用道具 举报

admin
发表于 2019-5-23 18:57:13 | 显示全部楼层
API接口是固定的,不可能一人一个样;
第一:你自己封装php文件class类,根据每个接口参数要求,自己重新封装(这个群里已经有人封装过);
第二:你可以根据自己需求自定义封装一个dll库,以便自己随便调用(如果不会,去百度);
第三:只要API接口功能逻辑没问题,其他的安全防范要在你软件层开发解决!
如果您需要特殊定制,请联系客服QQ:3188639


回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|新秀网络验证系统API ( 豫ICP备2021033257号-1 )

GMT+8, 2024-4-25 23:58 , Processed in 0.202085 second(s), 61 queries , Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表