Pytania otagowane jako security

Tematy związane z bezpieczeństwem aplikacji i atakami na oprogramowanie. Nie używaj tego tagu sam, ponieważ powoduje to niejednoznaczność. Jeśli twoje pytanie nie dotyczy konkretnego problemu programistycznego, rozważ je zamiast tego w Information Security SE: https://security.stackexchange.com

12
Ostateczny przewodnik po uwierzytelnianiu opartym na formularzu [zamknięty]
Zamknięte . To pytanie musi być bardziej skoncentrowane . Obecnie nie przyjmuje odpowiedzi. Chcesz poprawić to pytanie? Zaktualizuj pytanie, aby skupiało się tylko na jednym problemie, edytując ten post . Zamknięte 3 lata temu . Uwierzytelnianie oparte na formularzu dla stron internetowych Uważamy, że przepełnienie stosu powinno być nie tylko …

7
Dlaczego Google wyprzedza while (1); na ich odpowiedzi JSON?
Dlaczego Google dodaje while(1);do swoich (prywatnych) odpowiedzi JSON? Na przykład, oto odpowiedź podczas włączania i wyłączania kalendarza w Kalendarzu Google : while (1); [ ['u', [ ['smsSentFlag', 'false'], ['hideInvitations', 'false'], ['remindOnRespondedEventsOnly', 'true'], ['hideInvitations_remindOnRespondedEventsOnly', 'false_true'], ['Calendar ID stripped for privacy', 'false'], ['smsVerifiedFlag', 'true'] ]] ] Zakładam, że ma to na celu …
4074 javascript  json  ajax  security 


28
Jak mogę zapobiec iniekcji SQL w PHP?
Odpowiedzi na to pytanie są dziełem społeczności . Edytuj istniejące odpowiedzi, aby poprawić ten post. Obecnie nie akceptuje nowych odpowiedzi ani interakcji. Czy jesteś w stanie przesłać stos w przepełnieniu stosu : Czy masz już SQL-ин PHPекций w PHP? Jeśli dane wejściowe użytkownika zostaną wstawione bez modyfikacji w zapytaniu SQL, …

26
Jak etycznie podejść do przechowywania hasła użytkownika w celu późniejszego pobrania tekstu jawnego?
Zablokowana . To pytanie i odpowiedzi są zablokowane, ponieważ pytanie jest nie na temat, ale ma znaczenie historyczne. Obecnie nie akceptuje nowych odpowiedzi ani interakcji. Ponieważ nadal buduję coraz więcej witryn i aplikacji internetowych, często jestem proszony o przechowywanie haseł użytkownika w taki sposób, aby można je było odzyskać, jeśli …

14
Bezpieczny hash i sól dla haseł PHP
Obecnie mówi się, że MD5 jest częściowo niebezpieczny. Biorąc to pod uwagę, chciałbym wiedzieć, którego mechanizmu użyć do ochrony hasłem. To pytanie: czy „podwójne hashowanie” jest mniej bezpieczne niż jednorazowe hashowanie? sugeruje, że wielokrotne mieszanie może być dobrym pomysłem, podczas gdy jak wdrożyć ochronę hasłem dla poszczególnych plików? sugeruje użycie …




30
Jak uniknąć inżynierii wstecznej pliku APK?
Zajmuję się tworzeniem aplikacji przetwarzania płatności dla Androida i chcę, aby zapobiec hakerów dostępu do wszelkich zasobów, aktywów lub kod źródłowy z APK pliku. Jeśli ktoś zmieni rozszerzenie .apk na .zip, może go rozpakować i łatwo uzyskać dostęp do wszystkich zasobów i zasobów aplikacji, a korzystając z dex2jar i dekompilatora …

7
Czy instrukcje przygotowane przez PDO są wystarczające, aby zapobiec wstrzyknięciu SQL?
Powiedzmy, że mam taki kod: $dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM users where username = :username'); $stmt->execute( array(':username' => $_REQUEST['username']) ); Dokumentacja ChNP mówi: Parametry gotowych instrukcji nie muszą być cytowane; kierowca obsługuje to za ciebie. Czy to naprawdę wszystko, co muszę zrobić, aby uniknąć zastrzyków SQL? …

14
Dlaczego OAuth v2 ma zarówno tokeny dostępu, jak i odświeżania?
Sekcja 4.2 projektu protokołu OAuth 2.0 wskazuje, że serwer autoryzacji może zwrócić zarówno access_token(używany do uwierzytelnienia się w zasobie), jak i taki refresh_token, który służy wyłącznie do utworzenia nowego access_token: https://tools.ietf.org/html/rfc6749#section-4.2 Dlaczego oba? Dlaczego nie zrobić access_tokenostatniego tak długo, jak refresh_tokennie ma refresh_token?

4
Wstrzyknięcie SQL, które omija mysql_real_escape_string ()
Czy istnieje możliwość wstrzyknięcia SQL, nawet przy użyciu mysql_real_escape_string()funkcji? Rozważ tę przykładową sytuację. SQL jest zbudowany w PHP w następujący sposób: $login = mysql_real_escape_string(GetFromPost('login')); $password = mysql_real_escape_string(GetFromPost('password')); $sql = "SELECT * FROM table WHERE login='$login' AND password='$password'"; Słyszałem, że wiele osób mówi mi, że taki kod jest nadal niebezpieczny i …


4
W jaki sposób bcrypt może mieć wbudowane sole?
Artykuł Cody Hale „Jak bezpiecznie przechowywać hasło” twierdzi, że: bcrypt ma wbudowane sole, aby zapobiec atakom na tęczowy stół. Cytuje ten artykuł , który mówi, że w implementacji OpenBSD bcrypt: OpenBSD generuje 128-bitową sól bcrypt ze strumienia klucza arcfour (arc4random (3)), zaszczepionego losowymi danymi zbieranymi przez jądro z taktowania urządzenia. …

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.