基于易语言某款编辑器的安全问题思考

青春的思念 · 发表于 2020-3-22 14:00:48

本帖最后由青春的思念于 2020-3-22 15:10 编辑

基于易语言论坛程序员挺多的，今天说下对于写网络软件安全方面的一些事
搜狗截图20年03月22日1344_3.png

今天主角是一款挺好看的编译器，由于是做安全方面工作的想了下是否存在漏洞于是做了一个测试

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

搜狗截图20年03月22日1351_5.png

当我们zc一个小号点击登录的时候会从官网返回JSONxx，我们通过分析JSONxx发现有一段 "vip":false, 我们可以思考下 VIP=FALSE 不是会员如果等于true呢？

搜狗截图20年03月22日1352_6.png

我们使用工具对返回的JSON进行替换，把Flase 改成true 然后从新请求

搜狗截图20年03月22日1353_7.png

当我们从新登陆的时候就可以发现是VIP用户了对于功能限制已经没有了

这个问题给我们带来一个思考？什么是安全安全的边界是什么？我相信论坛很多人写软件对于登陆类型的可能是调用自己搭建论坛的会员系统或者其他会员系统，而一个软件某个功能可不可以使用也不过是判断某个URL或者地址访问的xx等于1就是会员等于0就不是会员

对此建议各位在写软件的同时放弃传统的判断手法，即使不反编译你软件也可以给你破掉

最后看到程序开发人员可能把情绪带到我这帖子上面了。认为防君子不防小人，我还是认为程序安全应当重视，不要人身攻击一个小问题而已不需要进行人身攻击排除异己

抑郁症患者1 · 发表于 2020-3-24 13:34:12

青春的思念 · 发表于 2020-3-22 15:03:41

本帖最后由青春的思念于 2020-3-22 15:13 编辑

一个小问题而已给其他人作为案例参考怎么都开始人身攻击了

ds9660 · 发表于 2020-3-22 14:59:19

收到反馈，这边马上安排修复

柯腾 · 发表于 2020-3-22 14:45:17

青春的思念发表于 2020-3-22 14:03
软件的话是一款挺好用的 WEB 安全分析工具HTTPDebug

把工具分享一份呗

花小魂 · 发表于 2020-3-22 14:36:37

海星

东坡 · 发表于 2020-3-22 14:28:21

路过瞅一瞅

青春的思念 · 发表于 2020-3-22 14:03:44

软件的话是一款挺好用的 WEB 安全分析工具HTTPDebug

		自动登录	找回密码
密码			注册

[技术专题] 基于易语言某款编辑器的安全问题思考

点评