關於實現應用程序網絡協議的安全問題

Question

我的問題here，我試圖在服務器機器上實現某種消息解析。

目前的消息是這樣的：

int _header_signature; 
int _offset_a; 
int _offset_b; 
int _size_a; 
int _size_b; 
wchar_t stuff[_size_a]; 
wchar_t stuff2[_size_b]; 
int _footer_signature; 

我能得到一些代碼，這樣的作品，由頭部和大小的解碼，並知道如果我收到的整條消息或有更多未決。但是，什麼阻止惡意用戶故意更改這些消息並使我的機器崩潰？例如。將尺寸值或偏移量之一更改爲比我的消息更大的東西。

如何使我的服務器安全可靠，並且抵禦接收到的任何消息？

Answer 1

剛連載的數據http://en.wikipedia.org/wiki/Serialization

，然後檢查偏移是有效的。

Answer 2

沒有。您必須驗證您收到的數據。

當然，您可以/應該加密通過網絡發送的數據，以防止中間人受到攻擊，但這並不會阻止某人向您發送垃圾數​​據。

所以你必須檢查數據是否是垃圾。如果偏移量指向消息外部，那麼可能會發生一些可疑的事情，您將不得不面對這些問題。