Pytania otagowane jako security

Tematy związane z bezpieczeństwem aplikacji i atakami na oprogramowanie. Nie używaj tego tagu sam, ponieważ powoduje to niejednoznaczność. Jeśli twoje pytanie nie dotyczy konkretnego problemu programistycznego, rozważ je zamiast tego w Information Security SE: https://security.stackexchange.com

1
Sprawdzone metody generowania tokenów OAuth?
Zdaję sobie sprawę, że specyfikacja OAuth nie określa nic o pochodzeniu kodu ConsumerKey, ConsumerSecret, AccessToken, RequestToken, TokenSecret lub Verifier, ale jestem ciekawy, czy istnieją jakieś najlepsze praktyki dotyczące tworzenia znacząco bezpiecznych tokenów (zwłaszcza Token / Tajne kombinacje). Jak widzę, istnieje kilka podejść do tworzenia tokenów: Po prostu użyj losowych bajtów, …
11
X-Frame-Options Allow-From wielu domen
Mam witrynę ASP.NET 4.0 IIS7.5, którą muszę zabezpieczyć za pomocą nagłówka X-Frame-Options. Muszę również umożliwić wyświetlanie ramek iframe na moich stronach witryny z mojej samej domeny, a także z mojej aplikacji Facebook. Obecnie mam skonfigurowaną witrynę z witryną o nazwie: Response.Headers.Add("X-Frame-Options", "ALLOW-FROM SAMEDOMAIN, www.facebook.com/MyFBSite") Kiedy przeglądałem moją stronę na Facebooku …
10
Konieczność ukrycia soli do haszyszu
W pracy mamy dwie konkurencyjne teorie dotyczące soli. Produkty, nad którymi pracuję, używają czegoś takiego jak nazwa użytkownika lub numer telefonu, aby posolić hash. Zasadniczo coś, co jest różne dla każdego użytkownika, ale jest dla nas łatwo dostępne. Drugi produkt losowo generuje sól dla każdego użytkownika i zmienia się za …
4
Jakie są zagrożenia związane z uruchomieniem „sudo pip”?
Czasami napotykam komentarze lub odpowiedzi, które wyraźnie stwierdzają, że bieganie pippod sudojest „niewłaściwe” lub „złe”, ale są przypadki (w tym sposób, w jaki skonfigurowałem zestaw narzędzi), w których jest to znacznie prostsze lub nawet konieczne uruchom to w ten sposób. Jakie są zagrożenia związane z bieganiem pippod sudo? Zwróć uwagę, …
99 python  security  pip  sudo 
11
Jak utworzyć zaszyfrowane hasło laravel
Próbuję utworzyć zaszyfrowane hasło do Laravel. Ktoś powiedział mi, żebym użył pomocnika haszującego Laravel, ale nie mogę go znaleźć lub patrzę w złym kierunku. Jak utworzyć zaszyfrowane hasło laravel? Oraz gdzie? Edycja: wiem, jaki jest kod, ale nie wiem, gdzie i jak go używać, więc zwraca mi zaszyfrowane hasło. Jeśli …
17
Czy istnieje różnica między uwierzytelnianiem a autoryzacją?
Widzę, że te dwa terminy trochę się kłębiły (szczególnie w scenariuszach internetowych, ale przypuszczam, że nie ogranicza się do tego) i zastanawiałem się, czy istnieje różnica. Wydaje mi się, że obaj mają na myśli, że wolno ci robić to, co robisz. Czy to tylko kwestia nomenklatury, czy też istnieje podstawowa …
97 security 
2
Które zmienne $ _SERVER są bezpieczne?
Osoba atakująca może również kontrolować każdą zmienną, którą może kontrolować użytkownik, a zatem jest ona źródłem ataku. Nazywa się to zmienną „skażoną” i jest niebezpieczna. Podczas używania $_SERVERmożna kontrolować wiele zmiennych. PHP_SELF, HTTP_USER_AGENT, HTTP_X_FORWARDED_FOR, HTTP_ACCEPT_LANGUAGEI wielu innych, są częścią nagłówka żądania HTTP wysłanego przez klienta. Czy ktoś zna „bezpieczną listę” …
97 php  security 
3
klucz klienta w OAuth 2.0
Aby korzystać z Google Drive API, muszę grać z uwierzytelnianiem przy użyciu OAuth2.0. Mam kilka pytań na ten temat. Identyfikator klienta i klucz tajny klienta służą do identyfikacji mojej aplikacji. Ale muszą być zakodowane na stałe, jeśli jest to aplikacja kliencka. Tak więc każdy może zdekompilować moją aplikację i wyodrębnić …
2
Błąd SSL: nie można uzyskać certyfikatu lokalnego wydawcy
Mam problem ze skonfigurowaniem SSL na 32-bitowym serwerze Debiana 6.0. Jestem stosunkowo nowy z SSL, więc proszę o wyrozumiałość. Uwzględniam jak najwięcej informacji. Uwaga: Prawdziwa nazwa domeny została zmieniona w celu ochrony tożsamości i integralności serwera. Konfiguracja Serwer działa przy użyciu nginx. Jest skonfigurowany w następujący sposób: ssl_certificate /usr/local/nginx/priv/mysite.ca.chained.crt; ssl_certificate_key …
2
Jak działa luka JPEG of Death?
Czytałem o starszym exploicie przeciwko GDI + w Windows XP i Windows Server 2003 o nazwie JPEG of death dla projektu, nad którym pracuję. Exploit jest dobrze wyjaśniony w poniższym linku: http://www.infosecwriters.com/text_resources/pdf/JPEG.pdf Zasadniczo plik JPEG zawiera sekcję o nazwie COM zawierającą (prawdopodobnie puste) pole komentarza i dwubajtową wartość zawierającą rozmiar …
94 c++  security  memcpy  malware 
5
Po co używać klucza i klucza API?
Natknąłem się na wiele interfejsów API, które dają użytkownikowi zarówno klucz API , jak i sekret . Ale moje pytanie brzmi: jaka jest różnica między nimi? Moim zdaniem wystarczy jeden klucz. Powiedzmy, że mam klucz i tylko ja i serwer o tym wiemy. Tworzę skrót HMAC z tym kluczem i …
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.