【发布时间】:2008-10-18 09:14:57
【问题描述】:
有一些相当强大的工具,例如 SIMBL 或 Airfoil/Instant Hijack,它们使用代码注入。
据我了解,这些工具在其他程序中注入了自己的代码。这个想法对我来说听起来很危险,因为这似乎有可能使完全稳定的软件变得脆弱和“有缺陷”。这似乎也带来了安全风险。
出于稳定性或安全原因,是否应该避免使用这些工具?
【问题讨论】:
标签: code-injection
【发布时间】:2008-10-18 09:14:57
【问题描述】:
这取决于您使用它的目的以及所注入代码的质量。完全稳定的注入代码是可能的。事实上,在我之前开发第三方游戏反作弊软件时,代码注入是其中很大一部分,而且我经常能够通过消除原始游戏开发者从未修复的漏洞和漏洞来使游戏更加稳定。不再支持该游戏。
另一方面,我可能对将第三方代码注入企业安全、审计或会计软件持怀疑态度。
【讨论】:
我相信它不仅仅指kind of code injection 用于入侵或破解系统。
这也是java世界中常用的一种技术,有AOP或IPojo之类的工具。
当它们有意义时,它们会补充当前代码,从而允许它们:
- 在给定框架内运行(用于 IPojo 的 OSGI 声明式服务)
- 添加功能(AOP 的日志记录服务)
只要初始代码可以在没有代码注入的情况下运行,稳定性就不是问题。
稳定性和安全性 - 在代码注入的这两种善意用法的情况下 - 注入代码的稳定性和安全性应该在单独的测试代码中进行评估。
【讨论】: