个人中心
文章发布
退出
作者热门文章
- iOS/Objective-C 元类和类别
- objective-c - -1001 错误,当 NSURLSession 通过 httpproxy 和/etc/hosts
- java - 使用网络类获取 url 地址
- ios - 推送通知中不播放声音
29
4
ProcessExplorer 等一些程序能够读取内存中的字符串(例如,我在代码中编写的错误消息可以很容易地显示出来,即使它已经被编译)。
想象一下,如果我在内存中按顺序分配密码字符串“123456”。如果黑客能够获取用户输入的密码怎么办?有什么方法可以防止字符串被看得那么清楚吗?
哦,是的,另外,如果我对密码进行哈希处理并将其从客户端发送到服务器以比较存储的数据库哈希值,黑客是否能够存储相同的哈希值并重放它以获取对用户帐户?有没有办法防止重放?
谢谢!
最佳答案
我相信您混淆了两件事。 ProcessExplorer 正在查找的字符串也可以通过 Unix 中的“strings”命令找到。它只是将所有存储的字符串转储到可执行文件中,而不是当前内存中。
除非您将用户密码编译到程序中,否则 ProcessExplorer 不应读取分配用于存储数据的内存。
可能会发生许多问题。最好的办法是确保没有其他代码可以在您的进程空间内运行。自虚拟内存时代以来,每个进程都有自己的虚拟内存空间,理想情况下可以防止任何其他程序访问和干扰其他程序的内存。有多种方法可以检测您的程序是否正在被调试。
您还需要确保用于存储密码的内存永远不会写入磁盘或页面调出。该网站可以为您指明正确的方向。 https://www.securecoding.cert.org/confluence/display/seccode/MEM06-C.+Ensure+that+sensitive+data+is+not+written+out+to+disk
[编辑]
我想通过谈论防止重放来扩展我之前的帖子。
如果您真的想要一个完整的解决方案,您将需要使用 PKI 系统实现双向身份验证。您的客户端将拥有证书,您的服务器也将拥有证书。客户端的私钥只能使用用户输入的密码解锁。这将允许服务器验证客户端是他所说的那个人。客户端然后将验证服务器是他所说的他与客户端相同的方式。
通过使用此系统,您可以防止有人冒充服务器并试图让您将密码发送给它。
这是一个我无法在本网站上详细介绍的主题。您将需要研究证书颁发机构和 PKI。
那么你的弱点是:1.进入当前内存以提取密码2. 社会工程学
关于c++ - 防止存储在内存中的字符串被其他程序读取,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4536832/
29
4
0
我在具有 2CPU 和 3.75GB 内存 (https://aws.amazon.com/ec2/instance-types/) 的 c3.large Amazon EC2 ubuntu 机器上运
我想通过用户空间中的mmap-ing并将地址发送到内核空间从用户空间写入VGA内存(视频内存,而不是缓冲区),我将使用pfn remap将这些mmap-ed地址映射到vga内存(我将通过 lspci
在 Mathematica 中,如果你想让一个函数记住它的值,它在语法上是很轻松的。例如,这是标准示例 - 斐波那契: fib[1] = 1 fib[2] = 1 fib[n_]:= fib[n] =
我读到动态内存是在运行时在堆上分配的,而静态内存是在编译时在堆栈上分配的,因为编译器知道在编译时必须分配多少内存。 考虑以下代码: int n; cin>>n; int a[n]; 如果仅在运行期间读
我是 Python 的新手,但我之前还不知道这一点。我在 for 循环中有一个基本程序,它从站点请求数据并将其保存到文本文件但是当我检查我的任务管理器时,我发现内存使用量只增加了?长时间运行时,这对我
我正在设计一组数学函数并在 CPU 和 GPU(使用 CUDA)版本中实现它们。 其中一些函数基于查找表。大多数表占用 4KB,其中一些占用更多。基于查找表的函数接受一个输入,选择查找表的一两个条目,
读入一个文件,内存被动态分配给一个字符串,文件内容将被放置在这里。这是在函数内部完成的,字符串作为 char **str 传递。 使用 gdb 我发现在行 **(str+i) = fgetc(aFil
我需要证实一个理论。我正在学习 JSP/Java。 在查看了一个现有的应用程序(我没有写)之后,我注意到一些我认为导致我们的性能问题的东西。或者至少是其中的一部分。 它是这样工作的: 1)用户打开搜索
n我想使用memoization缓存某些昂贵操作的结果,这样就不会一遍又一遍地计算它们。 两个memoise和 R.cache适合我的需要。但是,我发现缓存在调用之间并不可靠。 这是一个演示我看到的问
我目前正在分析一些 javascript shell 代码。这是该脚本中的一行: function having() { memory = memory; setTimeout("F0
我有一种情况,我想一次查询数据库,然后再将整个数据缓存在内存中。 我得到了内存中 Elasticsearch 的建议,我用谷歌搜索了它是什么,以及如何在自己的 spring boot 应用程序中实现它
我正在研究 Project Euler (http://projecteuler.net/problem=14) 的第 14 题。我正在尝试使用内存功能,以便将给定数字的序列长度保存为部分结果。我正在
所以,我一直在做 Java 内存/注意力游戏作业。我还没有达到我想要的程度,它只完成了一半,但我确实让 GUI 大部分工作了......直到我尝试向我的框架添加单选按钮。我认为问题可能是因为我将 JF
我一直在尝试使用 Flask-Cache 的 memoize 功能来仅返回 statusTS() 的缓存结果,除非在另一个请求中满足特定条件,然后删除缓存。 但它并没有被删除,并且 Jinja 模板仍
我对如何使用 & 运算符来减少内存感到非常困惑。 我可以回答下面的问题吗? clase C{ function B(&$a){ $this->a = &$a; $thi
在编写代码时,我遇到了一个有趣的问题。 我有一个 PersonPOJO,其 name 作为其 String 成员之一及其 getter 和 setter class PersonPOJO { priv
在此代码中 public class Base { int length, breadth, height; Base(int l, int b, int h) { l
Definition Structure padding is the process of aligning data members of the structure in accordance
在 JavaScript Ninja 的 secret 中,作者提出了以下方案,用于在没有闭包的情况下内存函数结果。他们通过利用函数是对象这一事实并在函数上定义一个属性来存储过去调用函数的结果来实现这
我正在尝试找出 map 消耗的 RAM 量。所以,我做了以下事情;- Map cr = crPair.collectAsMap(); // 200+ entries System.out.printl
我是一名优秀的程序员,十分优秀!