-
-2 votesanswersviews
网络和设备安全问题
我要切入追逐 . 在计算机和网络方面,我不是技术人员,但我确实知道要小心,尽量不要因为骗局或病毒 . 我的问题是,我的家庭网络存在很多问题 . 我说问题是因为问题不断变化,没有什么能阻止它 . 今天早些时候我正在检查我的网络,看看是否一切都很好,因为我必须恢复我的路由器,这是一个谷歌Onhub,我肯定似乎无法控制设置 . 我没有太多运气指示,因为我一直被迫进入我的Google帐户的登录页面看起来合... -
0 votesanswersviews
SqlDateTime溢出..这会导致任何问题吗?在这种情况下,是否可以进行任何类型的黑客攻击或绕过年龄限制?
我们有一个年龄限制的网站 . 如果用户想在我们的网站注册,则用户必须年满18周岁 . 据我所知,客户端和服务器端有验证? 当我试图在我们的网站注册时,我刚刚在表单字段中打开检查元素并在年份列表中添加“0001”,提交表单后收到错误(近按钮) SqlDateTime overflow. Must be between 1/1/1753 12:00:00 AM and 12/31/9999 11:5... -
0 votesanswersviews
如何在scapy sniff中过滤X11数据包并检查这些数据包的有效负载(x11事件)?
所以我看了他们的文档,找不到任何东西 我有一些数据包在wireshark中被称为x11 protocal,并且只需要查看这些数据包,然后我需要检查这个x11数据包的有效负载 这是它的样子: Wireshark 它用于CTF类型的挑战,而DH prime和发电机由于某种原因在x11中处于有效载荷中 基本上我的问题是: 如何过滤嗅探只显示x11数据包? (我不能使用端口过滤器或TCP过滤器,因为它... -
0 votesanswersviews
如何保护android调用发送点最佳实践
我正在开发一个Android应用程序,我的android允许发送点给其他用户 . 我的问题是在android端处理的最佳实践是什么?问题:如果用户意外点击两次发送怎么办?我在共享首选项中为用户保存令牌 . 是否有可能攻击者向用户发送恶意脚本或使用其他技术,因此他可以窃取用户令牌并调用api将点发送到他的帐户 . 如果攻击者反编译我的应用程序,并窃取api url并使用它将点发送到他的帐户?怎么解决... -
-5 votesanswersviews
admin“或”1“=”1是什么意思?
我在一个网站上运行 admin" or "1"="1 我已经拥有运行SQL注入的完全权限 . 该网站配置错误,让我直接登录 . 我不理解的是,为什么在最终的1号之后不需要双引号? 如果php的工作方式如下: username="admin" and password=md5("password") ,则admin之后的... -
2780 votesanswersviews
如何在PHP中阻止SQL注入?
如果在未修改SQL查询的情况下插入用户输入,则应用程序将容易受到SQL injection的攻击,如下例所示: $unsafe_variable = $_POST['user_input']; mysql_query("INSERT INTO `table` (`column`) VALUES ('$unsafe_variable')"); 这是因为用户可以输入类似 va... -
3021 votesanswersviews
为什么char []比字符串更适合密码?
在Swing中,密码字段具有 getPassword() (返回 char[] )方法,而不是通常的 getText() (返回 String )方法 . 同样,我遇到了一个不使用 String 来处理密码的建议 . 为什么 String 在密码方面对安全构成威胁?使用 char[] 感觉不方便 . -
0 votesanswersviews
反向代理服务器如何提高您的安全性?
我正在尝试了解为什么反向代理服务器很有用 . 我刚读过...... 安全性和匿名性 - 通过拦截前端服务器的请求,反向代理服务器可以保护其身份,并可以抵御安全攻击 . 它还确保可以从单个记录定位器或URL访问多个服务器,而不管局域网的结构如何 . https://www.nginx.com/resources/glossary/reverse-proxy-server/ 为什么隐藏后端服务器... -
3622 votesanswersviews
为什么Google会在(1)之前提前;他们的JSON回复?
为什么Google会将 while(1); 添加到他们的(私有)JSON响应中? 例如,这是在Google Calendar中打开和关闭日历时的响应: while(1);[['u',[['smsSentFlag','false'],['hideInvitations','false'], ['remindOnRespondedEventsOnly','true'], ['hideInvit... -
1 votesanswersviews
现有的.net Web应用程序需要更改身份验证
我继承了现有的.net Web应用程序 . 它是外部用户和内部用户使用的外部网站 . 要登录/验证内部用户,它使用LDAP身份验证 . 外部用户转到不同的DB . 我的IT部门想要改变内部用户登录的方式 . 他们不希望允许外部服务器使用LDAP访问AD . 是否有更安全的方法从外部服务器访问AD?或者根本不推荐? 此外,登录的设计是否有缺陷?内部和外部用户是否应该以相同的方式登录?登录用户的最佳做... -
1 votesanswersviews
Jnlp在认证中出错
我已经生成了密钥库及其内部密钥 . 然后我有我签名的java小程序 . 但每次我启动我的jnlp applet时,我都可以看到Internet浏览器安全警告对话框 . 当应用程序服务器和客户端计算机位于同一网络中时,在对话框中显示“Publisher:MyCompanyName”,但是当我们从Internet访问应用程序时,它会显示“Publisher:UNKNOWN” . 任何人都可以让我知道这... -
5 votesanswersviews
jnlp模板文件中的通配符
自Java 7u40中的最后一次安全性更改以来,需要对JNLP文件进行签名 . 这可以通过在 JNLP-INF/APPLICATION.JNLP 中添加最终的JNLP来完成,也可以通过在签名的主jar中的 JNLP-INF/APPLICATION_TEMPLATE.JNLP 中提供模板JNLP来完成 . 第一种方法效果很好,但我们希望允许将以前未知数量的运行时参数传递给我们的应用程序 . 因此,我... -
2 votesanswersviews
应用程序的关联文件(JNLP)没有数字签名
我有一个独特的问题,弹出Web启动证书 . - 当用户请求由我们编写的特殊Jnlp servlet处理时,我们动态生成jnlp文件,该servlet在运行时提供参数值 . - 这些参数稍后由客户端从jnlp文件作为系统属性读入 . 因此,动态生成的实际jnlp未签名,但所有jar /资源都已正确签名 . 但是我们得到这个恼人的弹出警告,并不是这个应用程序的所有资源都已签名,点击详细信息时,... -
11 votesanswersviews
为什么OAuth2服务器不提供refresh_token响应“client_credentials”授权?
我正在阅读OAuth2规范: https://tools.ietf.org/html/rfc6749#section-4.4.2 特别是 client_credentials grant类型的部分 . 如果访问令牌请求有效且已获得授权,则授权服务器将按照第5.1节中的说明发出访问令牌 . 刷新令牌不应该包括在内 . 如果请求未通过客户端身份验证或无效,则授权服务器将返回错误响应,如第5.2节中... -
1 votesanswersviews
安全性 - JWT和Oauth2(刷新令牌)
我有一个角度客户端应用程序和.net web api服务器 . 我试图了解如何使用令牌以最佳方式实现安全性 . 我想了几个选项,我不知道哪一个是最好的,或者是否有更好的方法 . JWT有效期 1.用户凭证登录 - >服务器返回有效期的JWT(例如离登录时间60分钟) . 服务器在60分钟内向服务器发出的每个有效请求都会返回一个新的JWT令牌,新的60分钟到期 . 如果用户在60分钟内未发送服... -
674 votesanswersviews
如何避免APK文件的逆向工程?
我正在为Android开发 payment processing app ,我想阻止黑客访问APK文件中的任何资源,资产或源代码 . 如果有人将.apk扩展名更改为.zip,那么他们可以解压缩并轻松访问所有应用程序的资源和资产,并使用dex2jar和Java反编译器,他们也可以访问源代码 . 反向工程Android APK文件非常容易 - 有关更多详细信息,请参阅Stack Overflow问题R... -
0 votesanswersviews
用页面要求密码保护我的wifi
当人们连接到我的wifi时,我想设置一个主页,并要求用户名和密码,并根据答案连接或不连接到wifi . 我需要做什么?或者这个电话怎么样,在互联网上搜索我找不到它 . 谢谢你们!! -
0 votesanswersviews
使用Apache的2路SSL - 证书问题
我一直在谷歌搜索疯狂试图解决这个问题,但答案似乎并不清楚,或者至少看起来似乎有矛盾的答案 . 我的任务是使用2Way SSL身份验证设置Apache Web服务器 . 我们使用verisign获取我们的证书,因此我们拥有Web实例的证书,其中包含正确的主机名详细信息,由verisign签名,以及来自verisign的中间证书 . 一切都很好 . 现在,我们需要设置2Way SSL连接 . 最初的期... -
120 votesanswersviews
将.pfx转换为.cer
是否可以将.pfx(个人信息交换)文件转换为.cer(安全证书)文件?除非我弄错了,不是一个.cer以某种方式嵌入.pfx中?如果可能的话,我想要一些方法来提取它 . -
1 votesanswersviews
redux安全性 - 状态重置后是否可以访问先前的状态?
我有一个应用程序,将用户特定数据保存在redux中,必须在用户注销时清除,即在同一浏览器选项卡中登录应用程序的下一个用户,应该无法访问数据 . 因此,应用程序使用redux中间件从API获取用户特定数据,然后该数据作为部分应用程序状态存储在redux中 . 当用户注销时,我会调度注销操作以清除状态: const rootReducer = (state: {}, action: AnyAction... -
1078 votesanswersviews
为PHP密码保护哈希和盐
目前据说MD5部分不安全 . 考虑到这一点,我想知道使用哪种机制来保护密码 . 这个问题,Is “double hashing” a password less secure than just hashing it once?表明多次散列可能是一个好主意,而How to implement password protection for individual files?建议使用salt . 我... -
0 votesanswersviews
用户离开应用程序时进行角度检测
我看了一眼,但似乎无法找到答案 . 由于我公司的团队,他们已经声明我们最近 Build 的网站,当用户离开网站时,我们需要销毁会话 . 目前它使用存储在本地浏览器会话中的JWT令牌,因此当用户关闭浏览器时,令牌将被销毁 . 所以我知道我可以挂钩 window.onbeforeunload 但如果用户刷新页面也会发生这种情况,我不认为这对网站是可接受的行为(刷新页面,现在你已经注销) . 并且还出现... -
1 votesanswersviews
Java中Web服务的用户身份验证
假设我有一个简单的Java服务器应用程序,它实现了一些Web( REST )服务 . 该应用程序在 Tomcat 中部署为 war . 现在我想添加用户身份验证,如下所示: 在服务器端添加带有用户名和密码的纯文本文件 users . 用户需要在每个请求中发送用户名和密码,服务器会根据文件对其进行测试 . 为了防止以明文形式发送密码,我正在考虑单向加密,就像 /etc/passwd 中使... -
314 votesanswersviews
为什么我突然在Firefox中遇到“阻止加载混合活动内容”问题?
今天早上,将我的Firefox浏览器升级到最新版本(从22到23),我的后台(网站)的一些关键方面停止工作 . 查看Firebug日志,报告了以下错误: Blocked loading mixed active content "http://code.jquery.com/ui/1.8.10/themes/smoothness/jquery-ui.css" Blocked l... -
2 votesanswersviews
由于CSP规则,Facebook聊天插件无法加载
我正在尝试整合Facebook客户聊天小部件: <div class="fb-customerchat" page_id="{{ fb_app_id }}" minimized="true"></div> 但它没有加载,我有以下错误: 铬: 拒绝显示'https://www.facebook.com/v2.11... -
1 votesanswersviews
使用Web安全性在HTTPS上调用SOAP服务时获取异常
请帮我解决这个问题 . 我正在编写一个java SOAP客户端来点击正在使用HTPPS的某个第三方的SOAP服务并接受标头中的web安全性 . 称为-hand的soap服务依次返回一个类对象 . 我写了一个类,在调用服务的时候,我得到的是异常 . 我试图获得发送到服务的SOAP Envelop并使用SOAP UI工具执行它并获得成功的响应 . 我有点困惑,因为当我用我的JAVA SOAP客户端发送... -
1 votesanswersviews
Matlab:在防止用户干预的同时运行代码
我在Matlab中实现了关键业务流程 . 它基本上是一个每天调用一次的脚本,结果将用于做出关键业务决策 . 我需要确保脚本生成的结果在商业意义上是可靠的,即它需要是修改版本 . 我们有一个适当的发布流程,因此发布经理是唯一一个拥有 生产环境 代码环境的写权限的人 . 由于Matlab是一种解释型语言,因此用户可以在执行批准代码的任何时刻按Ctrl C取消执行,修改数据和执行 . 对于我的结果'文章... -
780 votesanswersviews
保护REST API / Web服务的最佳实践[关闭]
在设计REST API或服务时,是否有任何已 Build 的最佳实践来处理安全性(身份验证,授权,身份管理)? 构建SOAP API时,您需要使用WS-Security作为指南,并且有很多关于该主题的文献 . 我发现有关保护REST endpoints 的信息较少 . 虽然我理解REST故意没有类似于WS- *的规范,但我希望出现最佳实践或推荐模式 . 任何讨论或相关文件的链接将非常感谢 . 如果... -
0 votesanswersviews
如何保护SharePoint共享SSRS数据源
我有一个大型报表SharePoint网站,其中包含大约十二个不同的共享数据源连接,每个连接都指向由站点上托管的SSRS报告使用的不同SQL服务器 . 每个数据源都有一个缓存帐户,用于在报表运行时检索数据,以便报表读者不必具有对所有SQL数据库的读取权限 . 当具有报表构建权限的人创建报表时,他们可以选择网站上托管的一个共享数据源,但必须先通过身份验证弹出窗口,然后才能实际针对数据库编写查询: 目前... -
1 votesanswersviews
无法从不安全区域访问app.user
如何从不安全区域获取app.user? 所以我确保了从^ / user开始的区域 . 但是我需要在每个人都可以访问的区域显示注销表单而不是安全的 . 这怎么可能?我的security.yml: security: encoders: Symfony\Component\Security\Core\User\User: plaintext ###: ...