Pytania otagowane jako security

Tematy związane z bezpieczeństwem aplikacji i atakami na oprogramowanie. Nie używaj tego tagu sam, ponieważ powoduje to niejednoznaczność. Jeśli twoje pytanie nie dotyczy konkretnego problemu programistycznego, rozważ je zamiast tego w Information Security SE: https://security.stackexchange.com

4
Zastąp atrybut autoryzacji w ASP.NET MVC
Mam klasę bazową kontrolera MVC, na której zastosowałem atrybut Autoryzuj, ponieważ chcę, aby prawie wszystkie kontrolery (i ich akcje) były autoryzowane. Jednak potrzebuję, aby administrator i działanie innego administratora były nieuprawnione. Chciałem móc je ozdobić [Authorize(false)]czy czymś, ale to nie jest dostępne. Jakieś pomysły?
6
JAAS dla ludzi
Trudno mi zrozumieć JAAS. Wszystko wydaje się bardziej skomplikowane niż powinno (szczególnie samouczki Sun). Potrzebuję prostego samouczka lub przykładu jak wdrożyć zabezpieczenia (uwierzytelnianie + autoryzacja) w aplikacji java opartej na Struts + Spring + Hibernate z niestandardowym repozytorium użytkowników. Można zaimplementować za pomocą ACEGI.
5
Czy usługi sieciowe JSON są podatne na ataki CSRF?
Buduję usługę sieciową, która używa wyłącznie formatu JSON do obsługi żądań i odpowiedzi (tj. Żadnych ładunków zakodowanych w formularzu). Czy usługa internetowa jest podatna na atak CSRF, jeśli spełnione są następujące warunki? Każde POSTżądanie bez obiektu JSON najwyższego poziomu, np., {"foo":"bar"}Zostanie odrzucone z wartością 400. Na przykład POSTżądanie z zawartością …
82 http  security  csrf 
9
Oczyść / przepisz kod HTML po stronie klienta
Muszę wyświetlić zasoby zewnętrzne ładowane za pośrednictwem żądań między domenami i upewnić się, że wyświetlam tylko „ bezpieczne ” treści. Można by użyć Prototype's String # stripScripts do usunięcia bloków skryptów. Ale opiekunowie tacy jak onclicklub onerrornadal tam są. Czy jest jakaś biblioteka, która może przynajmniej usuwanie bloków skryptów, zabić …
7
Jak zaimplementować resetowanie haseł?
Pracuję nad aplikacją w ASP.NET i zastanawiałem się konkretnie, w jaki sposób mógłbym zaimplementować Password Resetfunkcję, gdybym chciał utworzyć własną. W szczególności mam następujące pytania: Jaki jest dobry sposób na wygenerowanie unikalnego identyfikatora, który jest trudny do złamania? Czy powinien być do niego dołączony timer? Jeśli tak, to jak długo …
4
Jakie jest ryzyko wdrożenia symboli debugowania (pliku pdb) w środowisku produkcyjnym?
Mam aplikację, która rejestruje ślady ciągów wyjątków i chciałem, aby te ślady stosu zawierały nazwy plików i numery wierszy podczas wdrażania w środowisku produkcyjnym. Wymyśliłem, jak wdrożyć symbole debugowania w zestawie, ale w trakcie badania problemu natknąłem się na to pytanie , co oznacza, że ​​nie jest dobrym pomysłem włączanie …
7
Dlaczego strlcpy i strlcat są uważane za niebezpieczne?
Rozumiem to strlcpyi strlcatzostały zaprojektowane jako bezpieczne zamienniki dla strncpyi strncat. Jednak niektórzy ludzie nadal uważają, że są niepewni i po prostu powodują inny rodzaj problemu . Czy ktoś może podać przykład, jak użycie strlcpyor strlcat(tj. Funkcji, która zawsze kończy swoje łańcuchy o wartości null) może prowadzić do problemów z …
80 c  security  strncpy  strlcpy 
4
Podejścia dotyczące autoryzacji i wzorce projektowe dla aplikacji Node.js [zamknięte]
Zamknięte . To pytanie musi być bardziej skoncentrowane . Obecnie nie przyjmuje odpowiedzi. Chcesz poprawić to pytanie? Zaktualizuj pytanie, aby skupiało się tylko na jednym problemie, edytując ten post . Zamknięte 2 lata temu . Popraw to pytanie Tworzę wielostronicowy interfejs administratora dla wewnętrznej platformy oprogramowania dla przedsiębiorstw. Pomyśl o …
2
Jak zostać dostawcą usług SAML
Moja firma obecnie opracowuje aplikację internetową w języku Java. Kilku naszych klientów ma wewnętrzne serwery SAML (dostawcy tożsamości?) I poprosili o integrację z nimi. Ostatnio czytałem o tym i bawiłem się z OpenAM. Po około 3 dniach mam ogólne zrozumienie, ale nadal istnieją pewne luki w mojej wiedzy. Mam nadzieję, …
1
Jak uzyskać sprawdzanie listy CRL i OSCP w systemie iOS?
Nie mogę uzyskać list CRL działających na iOS. Stworzyłem dwa przypadki testowe. Mam ważny certyfikat wydany przez urząd certyfikacji. Mam inny ważny certyfikat, wydany przez urząd certyfikacji, ale urząd certyfikacji dodał ten certyfikat do swojej listy CRL. Następnie konfiguruję zasadę odwołania, która umożliwia sprawdzanie listy CRL i wymaga powodzenia. func …
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.