产品安全 - 小漏洞导致大问题

最新推荐文章于 2022-07-19 18:44:38 发布
最新推荐文章于 2022-07-19 18:44:38 发布
阅读量452 收藏
点赞数
分类专栏: 产品 - 电子产品
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qazw9600/article/details/112595933
版权

说明

  • 近日,公司为了加强代码安全,引入了代码加解密工具,即:对程序员编写的代码进行加解密,只能使用被授权的编辑工具,在指定的地理范围(公司)内显示和编辑,对PC进行监控,不允许代码文件的拷贝和发送等操作,对PC上U盘等外置设备的插拔进行监控等。

工具说明

  • 工具拥有window和linux版本
  • window版本拥有主要的功能,包括:对个人pc的监控,代码编辑工具的授权等,未授权的工具打开代码会显示乱码,功能看起来比较完备。
  • linux版本,好像实现不了授权工具对代码编辑时自动解密,使用授权工具对加密代码进行编辑时,需要手动加上一个authbash,如下:
* makefile中的编译命令
authbash "gcc xxx -o xxx"
  • 安装好监控程序后,会自动间隔的扫描pc上的代码文件。
  • 未加密的文件可以使用未授权的工具发送或编辑。

工具破解

  • 该监控产品看起来比较完备,要破解的难点比较大;但是却忽视了一些小细节 - 管道。
  • 使用管道即可将代码进行解密,如下:
authbash "cat xxx.c" | cat > xxx.c
* 不确定是否有办法禁止类似管道的使用。
  • 其它敏感操作
authbash "cat xxx.c" > xxx.c #重定向有做限制,无法实现
leon.liao
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
一个简单的auth shell程序
nihaosonus的专栏
05-06 439
function sync_auth_yd() { local in_ip=($1) local out_ip=($2) for var in ${out_ip[@]} do     for j in ${in_ip[@]}     do           in_suffix=`echo ${j:(-3)} | tr -d '.'`         out_suffix=`ec
Linux bash综合实例之 bash脚本编辑器
love android
12-06 2418
说明:这是一个比较简单的bash脚本编辑器,但是已经经过测试。书写此博客的原因,一方面是练习循环控制语言、函数、位置参数、本地变量以及函数参数调用,以及函数之间调用等等,还有就是获得用户选项以及选项的参数。 注:脚本选项以及脚本选项参数获得方法使用getopt并进行进一步判断,请查阅main()函数. #!/bin/bash # Author: 李安杰 # Time: 2014-12-
linux下redis登录提示bash: auth: 未找到命令...
qq_43765528的博客
05-25 621
在linux环境下使用auth命令登录redis时提示bash:auth:未找到命令
auth_basic 认证
a6160212的博客
04-26 837
shell > yum -y install httpd-tools # 安装 htpasswd 工具 shell > cd /usr/local/nginx-1.10.2/conf shell > htpasswd -c pass.db wang # 创建认证用户 wang 并输入密码,添加用户时输入 htpasswd pass.db userna...
安全相关-系统安全-高危漏洞免疫工具软件 v1.0.0.1003.zip
12-07
"安全相关-系统安全-高危漏洞免疫工具软件 v1.0.0.1003.zip" 提供的是一款专为解决这一问题设计的软件,旨在增强系统的防护能力,抵御潜在的高危漏洞攻击。 首先,我们要理解什么是高危漏洞。在计算机系统中,漏洞...
东南大学网络空间安全实验基础——缓冲区溢出漏洞实验
07-07
缓冲区溢出漏洞是一种常见的安全漏洞,攻击者可以通过溢出缓冲区来 inject恶意代码,从而控制系统的行为。 实验报告的内容包括六个任务,分别是: Task 1:运行 Shellcode,编译运行代码,观察 Shell 是否被唤起。...
网络安全-漏洞扫描.pptx
06-10
1. **通用漏洞和曝光(CVE)**:CVE是一种标准化的公开安全漏洞和暴露信息的命名系统,旨在促进不同数据库间的数据共享和搜索。它不是数据库,而是一个词汇表,包含所有已公开的安全漏洞和暴露的名称。 2. **...
006-Web安全基础2 - 注入漏洞1
08-03
此外,还有各种自动化工具用于检测SQL注入漏洞,如Nessus、Burp Suite、Acunetix等,这些工具可以帮助开发者识别和修复潜在问题,增强Web应用程序的安全性。 总的来说,理解SQL注入的原理和防范措施对于保障Web应用...
网络安全基础-文件上传漏洞
08-30
但如果没有正确地实施这些安全措施,就可能导致漏洞。 1. **文件类型检查**:服务器在接收上传文件时,应检查其MIME类型。例如,如果只接受图片,就应确保文件是.jpg、.png或.gif等格式。然而,若检查不严格,恶意...
linux+启动bash脚本,linux bash启动停止脚本,第二弹
weixin_36397447的博客
05-07 145
本文是之前的watchdate的shell脚本的改进wdate,同样先上图:1)脚本加入chkconfig管理head -5 /etc/init.d/wdate#!/bin/bash#auth:[emailprotected]##wdateStart/Stopthewatchdatedaemon##chkconfig:23457155chkconfig --add...
Linux下的make命令使用心得
热门推荐
不积跬步,无以至千里
07-12 2万+
本文译至:http://d.hatena.ne.jp/embedded/20140829/p1 为了使make命令执行并行处理,-j 选项可以用来指定作业数。 $ make -j4  作业数是在编译的时候指定主机的CPU个数,所以在脚本中写成一个常量很糟糕。(特别是把编译脚本给其他人的时候。)并行处理的作业数和编译的效率直接相关,所以需要设置合适的作业数量。 昨天的文章中在
认识和使用bash
Giyoo
05-09 237
一.认识bash          1. 简介          想要使用bash,第一步首先就需要了解bash是个什么东东?那bash到底是个什么东西呢,简单来说他就是个shell,那shell又是个什么玩意儿呢,你可以这么理解shell,他就是个壳,是操作系统的壳,而通过操作系统的核你可以去使用计算机的各种资源。百度上给的解释是一个命令解释器,就是说无论你在计算机上做什么操作,最后还是会调
软件开发过程中常见漏洞的解析
深耕安全技术研究
07-19 1920
软件漏洞的解析
《网络产品安全漏洞管理规定》解读
beetxia的博客
07-19 4529
《网络产品安全漏洞管理规定》2021年7月12日已由工业和信息化部、国家互联网信息办公室、公安部三部门联合印发,现予公布,自2021年9月1日起施行。 一、解读《网络产品安全漏洞管理规定》 制定目的 为了规范网络产品安全漏洞发现、报告、修补和发布等行为,防范网络安全风险。 法律依据 《中华人民共和国网络安全法》 三类责任主体 ① 网络产品(含硬件、软件)提供者。 ② 网络运营者。 ③ 从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人。 三项管理职责及分工 ① 国家互联网信息办公
测试人员容易遗漏一些隐藏的缺陷
weixin_34234721的博客
07-19 266
  通常软件测试会暴露软件中的缺陷,经过修正后可以保证软件系统的功能满足需求并正确运行。但是,在系统测试和确认测试中,测试人员容易遗漏一些隐藏的缺陷。众所周知,软件测试不可能发现所有的缺陷,而软件开发周期各个阶段仍然存在注入缺陷的可能,但是,有一些缺陷是测试中容易忽略的,也就是说,通过测试方法和用例可以充分暴露这些缺陷,遗憾的是,它们往往被忽略或者某种原因忘记测试了,这就给软件留下了隐患或者危机。...
html css js网页设计
07-12
HTML、CSS和JavaScript是构建网页和网站的基本技术,它们共同工作来创建和设计用户界面。下面是关于这三种技术的详细介绍: ### HTML (HyperText Markup Language) - **定义**:HTML是构建网页内容的标准标记语言。 - **作用**:用于创建网页的结构和内容,如段落、链接、图片、表格等。 - **语法**:使用标签(如 `<p>`, `<div>`, `<a>`, `<img>` 等)来定义网页元素。 ### CSS (Cascading Style Sheets) - **定义**:CSS是一种样式表语言,用于描述HTML文档的呈现方式。 - **作用**:用于设置网页的布局、颜色、字体和其他视觉元素。 - **语法**:通过选择器(如 `p`, `.myclass`, `#myid` 等)应用样式规则。 ### JavaScript - **定义**:JavaScript是一种脚本语言,通常用于网页上实现交互功能。 - **作用**:允许网页与用户进行交互,如响应用户操作、动态更新内容、动画效果等。 - **语法**:Java
2023年数字乡村建设解决方案PPT(34页).pptx
最新发布
07-12
数字乡村建设解决方案旨在通过数字化转型促进乡村振兴和农业农村现代化。该方案强调了数字乡村建设的战略机遇,以"1+3+5"工程为总体框架,即一个大数据中心、三大服务平台和五类主题应用。方案着重于乡村治理、产业发展和公共服务三大问题,通过完善治理体系、升级治理能力、强化产业链条和改善资源配置来推动乡村全面振兴。 方案中提出的数字乡村大数据中心是信息资源的集散地,依托大数据、AI、物联网等新技术,实现数据驱动的决策支持。三大服务平台包括产业服务、民生服务和治理服务,旨在提升农业生产智能化、经营网络化,同时优化乡村治理结构和提升服务效能。五类主题应用覆盖生产管理、流通营销、行业监管、公共服务和乡村治理,通过具体业务应用体系,实现农业全产业链的数字化管理和服务。 预期建设效益包括通过信息技术促进乡村优势产业发展,形成城郊融合型数字乡村治理新模式,以及创新服务方式,提升服务能力,保障农民权益。整体而言,该方案以数字化为手段,推动乡村经济、治理、文化等多方面的全面升级和发展。
脉冲强光技术在灭菌烧结固化应用解决方案
07-12
脉冲强光技术在灭菌烧结固化应用解决方案,已经得到厂家授权,可以对外公示。
信息技术--赵泽茂--第八章.pptx
01-05
本文主要讨论了操作系统安全方面的内容,包括系统漏洞、Windows系统安全模型、Windows注册表安全、Windows帐号与密码、Windows 2000安全策略以及Windows系统的其他安全措施。 首先,系统漏洞指的是计算机系统中存在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值