Pytania otagowane jako security

Tematy związane z bezpieczeństwem aplikacji i atakami na oprogramowanie. Nie używaj tego tagu sam, ponieważ powoduje to niejednoznaczność. Jeśli twoje pytanie nie dotyczy konkretnego problemu programistycznego, rozważ je zamiast tego w Information Security SE: https://security.stackexchange.com

3
Jak zabezpieczyć usługi sieciowe RESTful?
Muszę zaimplementować bezpieczne usługi sieciowe RESTful . Zrobiłem już pewne badania za pomocą Google, ale utknąłem. Opcje: TLS (HTTPS) + Podstawowy HTTP (pc1oad1etter) HTTP Digest dwuetapowa autoryzacja OAuth podejście oparte na plikach cookie certyfikaty klientów (Tom Ritter i tutaj ) Podpisane żądania przy użyciu HMAC i ograniczony czas życia Czy …
14
techniki zaciemniania wrażliwych ciągów w C ++
Muszę przechowywać poufne informacje (symetryczny klucz szyfrowania, który chcę zachować dla siebie) w mojej aplikacji C ++. Prostym podejściem jest zrobienie tego: std::string myKey = "mysupersupersecretpasswordthatyouwillneverguess"; Jednak uruchomienie aplikacji przez stringsproces (lub inny, który wyodrębnia ciągi z aplikacji binarnej) ujawni powyższy ciąg. Jakie techniki należy zastosować, aby ukryć takie wrażliwe …
2
Odmowa uprawnienia EXECUTE do typów tabel zdefiniowanych przez użytkownika?
Mam pytanie dotyczące typów tabel zdefiniowanych przez użytkownika w programie SQL Server 2008. Na potrzeby jednej z aplikacji ASP.NET zdefiniowaliśmy własne typy tabel na SQL Server 2008, aby używać ich jako parametrów w procedurach składowanych (wykonując polecenie sql w aplikacji ASP.NET przekazujemy obiekt DataTable jako parametr procedury składowanej zobacz tutaj …
5
Jaki jest właściwy przepływ OAuth 2.0 dla aplikacji mobilnej
Próbuję zaimplementować delegowaną autoryzację w internetowym interfejsie API dla aplikacji mobilnych przy użyciu protokołu OAuth 2.0. Zgodnie ze specyfikacją niejawny przepływ uprawnień nie obsługuje tokenów odświeżania, co oznacza, że ​​po przyznaniu tokenu dostępu na określony czas użytkownik musi ponownie udzielić uprawnień aplikacji po wygaśnięciu tokenu lub jego unieważnieniu. Wydaje mi …
5
Jak zweryfikować poświadczenia domeny?
Chcę zweryfikować zestaw poświadczeń względem kontrolera domeny. na przykład: Username: STACKOVERFLOW\joel Password: splotchy Metoda 1. Zapytanie do usługi Active Directory z personifikacją Wiele osób sugeruje wyszukanie czegoś w usłudze Active Directory. Jeśli zostanie zgłoszony wyjątek, to wiesz, że poświadczenia są nieprawidłowe - jak sugeruje to pytanie o przepływie stosu . …
13
Wyłącz zabezpieczenia internetowe w Chrome 48+
Mam problem z --disable-web-securityflagą. Nie działa w Chrome 48 i Chrome 49 beta w systemie Windows. Próbowałem najpierw zabić wszystkie instancje, zrestartować i uruchomić Chrome z flagą, wypróbowałem też różne maszyny. W wersji beta widzę wyskakujące okienko z ostrzeżeniem („Używasz nieobsługiwanej flagi…”), ale CORS jest nadal wymuszany. Wersja publiczna wydaje …
10
Jak włączyć ochronę DDoS?
DDoS (rozproszone ataki typu „odmowa usługi”) są generalnie blokowane na poziomie serwera, prawda? Czy istnieje sposób na zablokowanie go na poziomie PHP lub przynajmniej zmniejszenie go? Jeśli nie, jaki jest najszybszy i najczęstszy sposób na powstrzymanie ataków DDoS?
3
Co to znaczy uciec przed ciągiem?
Czytałem: Czy przed przejściem do zapytania SQL należy zastosować znak ucieczki $ _SESSION ['username']? i powiedział: „Musisz uciec przed każdym ciągiem przekazanym do zapytania sql, niezależnie od jego pochodzenia”. Teraz wiem, że coś takiego jest naprawdę podstawowe. Wyszukiwarka Google dała ponad 20 000 wyników. Sam Stackoverflow miał 20 stron wyników, …
85 php  mysql  security  escaping 
3
Czy użycie „badidea” lub „thisisunsafe” do ominięcia błędu certyfikatu Chrome / HSTS dotyczy tylko bieżącej witryny? [Zamknięte]
Zamknięte. To pytanie nie spełnia wytycznych dotyczących przepełnienia stosu . Obecnie nie przyjmuje odpowiedzi. Chcesz poprawić to pytanie? Zaktualizuj pytanie, aby było na temat przepełnienia stosu. Zamknięte 2 lata temu . Popraw to pytanie Czasami, a szczególnie bardzo często, podczas tworzenia aplikacji internetowej, Chrome nie pozwala na odwiedzanie niektórych witryn …
3
Dlaczego nie ma zasad tego samego pochodzenia dla WebSockets? Dlaczego mogę połączyć się z ws: // localhost?
Chciałbym używać WebSockets do komunikacji między procesami dla mojej aplikacji (Daemon <-> WebGUI i Daemon <-> FatClient itp.). Podczas testów próbowałem połączyć się z moim lokalnie działającym serwerem sieciowym (ws: // localhost: 1234) za pośrednictwem klienta JavaScript WebSocket na websocket.org ( http://www.websocket.org/echo.html ). Moje pytanie brzmi teraz: dlaczego jest to …
12
Dlaczego sprawdzenie nieprawidłowego hasła powinno zająć więcej czasu niż sprawdzenie właściwego?
To pytanie zawsze mnie niepokoiło. W systemie Linux, gdy zostaniesz zapytany o hasło, czy wprowadzone dane są poprawne, sprawdza od razu, prawie bez opóźnienia. Ale z drugiej strony, jeśli wpiszesz nieprawidłowe hasło, sprawdzenie zajmie więcej czasu. Dlaczego? Zauważyłem to we wszystkich dystrybucjach Linuksa , jakie kiedykolwiek próbowałem.
4
Generowanie tokenów bezpiecznych kryptograficznie
W celu wygenerowania 32-znakowego tokena dostępu do naszego API używamy obecnie: $token = md5(uniqid(mt_rand(), true)); Czytałem, że ta metoda nie jest kryptograficznie bezpieczna, ponieważ opiera się na zegarze systemowym, a to openssl_random_pseudo_bytesbyłoby lepsze rozwiązanie, ponieważ byłoby trudniejsze do przewidzenia. W takim przypadku jak wyglądałby równoważny kod? Zakładam coś takiego, ale …
84 php  security  openssl  token 
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.