Tag: security
Themen im Zusammenhang mit der Anwendung Sicherheit und die Angriffe gegen die software. Bitte verwenden Sie nicht dieser tag allein, dass die Ergebnisse in Zweifel.
Wenn Ihre Frage ist nicht eine spezifische Programmierung problem, denken Sie bitte, stattdessen zu Fragen, es bei der Information Security SE: https://security.stackexchange.com
18
Antworten
Gibt es eine Möglichkeit zum zurücksetzen aller (oder nur deaktivieren Sie die Sicherheits-Einstellungen) von der Befehlszeile aus, ohne eine user/Passwort wie ich es geschafft habe, komplett sperren mich aus Jenkins? InformationsquelleAutor der Frage ryanzec | 2011-08-08
4
Antworten
Ich weiß, es ist möglich, einen leeren HTTP_REFERER. Unter welchen Umständen geschieht dies? Wenn ich eine leere, es tut immer bedeuten, dass der Benutzer es geändert? Ist immer eine leere, die gleiche wie immer ein null-eins? und
16
Antworten
Ok also ich und ein Freund sind dabei eine mini-Präsentation auf PHP-Sicherheit (ich bin nicht wirklich in PHP wäre) und er bat mich, finden Sie einige Beispiele von verwundbaren PHP-code (eine, die anfällig für SQL-Injektionen und alle
2
Antworten
Suchen Sie in der Datei java.security meiner JRE sehe ich, dass die keystore-Typ zu verwenden, die standardmäßig eingestellt ist JKS. Hieres gibt eine Liste von der keystore-Typen, die verwendet werden können. Gibt es eine empfohlene keystore-Typ? Was
9
Antworten
UPDATE: ich habe vor kurzem gelernt, aus diese Fragedass in der gesamten Diskussion unten, ich (und ich bin sicher, andere auch) war ein bisschen verwirrend: Was ich zu halten, ruft eine rainbow-Tabelle ist in der Tat aufgerufen,
3
Antworten
Was ist der technische Grund, dass SSLCertificateKeyFile benötigt wird (der private Schlüssel)? Wo ist das und für was? InformationsquelleAutor der Frage Tower | 2011-01-27
8
Antworten
Ich Schreibe ein shell-Skript, das sollte etwas sicherer ist, D. H. nicht-pass-sichere Daten über die Parameter der Befehle und vorzugsweise nicht verwendet temporäre Dateien. Wie kann ich übergeben Sie eine variable, um die Standardeingabe für ein Kommando?
2
Antworten
Warum IE einschränken von JavaScript-Dateien arbeiten, wenn wir uns öffnen einer lokalen html-Datei? Die Nachricht sagt: "Um Ihre Sicherheit zu schützen, den Internet explorer beschränkt hat, diese web-Seite aus ausführen von Skripts oder ActiveX-Steuerelemente, die auf den
1
Antworten
Ich bin mit versuchen, zu verwenden scifihifi-iphone (von Github) zum speichern und abrufen von Benutzernamen und Passwörtern. Allerdings, wenn ich die Klasse SFHFKeychainUtils bekomme ich folgenden Fehler: "_kSecAttrAccount", referenced from: _kSecAttrAccount$non_lazy_ptr in SFHFKeychainUtils.o "_SecItemDelete", referenced from: +[SFHFKeychainUtils
3
Antworten
Was ist der einfachste Weg, um programmgesteuert (aus meiner app) bekommen alle Elemente, die im Schlüsselbund gespeichert? Es hat wahrscheinlich etwas zu tun mit SecItemCopyMatching(), aber die Dokumentation für diese Funktion ist nicht sehr klar (und ich
3
Antworten
In eine RESTful-API, die verwendet S3-Stil Authentifizierung der API-client signiert die Anfrage mit seinem geheimen Schlüssel mittels HMAC-SHA1, so dass der geheime Schlüssel wird nie übertragen über die Leitung. Der server authentifiziert sich dem client mit, dass
3
Antworten
Ich habe eine Spring-MVC-Anwendung.Es verwendet eine eigene benutzerdefinierte Login-Seite. Nach erfolgreicher Anmeldung eine "LOGGED_IN_USER' - Objekt in der HTTPSession. Ich will damit nur authentifizierte Benutzer Zugriff auf URLs. Ich weiß, ich kann erreichen dies, indem Sie eine
8
Antworten
Ich bin etwas neu auf PHP-Programmierung und ich bin mir bewusst, dass Hacker hacken eine website wenn Sie nicht desinfiziert Ihre PHP-code. Was ich mich Frage ist, ob Sie ein Daten-Eintrag-box (wie für Datei-Vorlagen oder Benutzer-name/Passwort-Eingabe-Felder)?. Tun,
5
Antworten
Wir bieten eine Reihe von online-Diensten. Wir sind verpflichtet, ein system zu entwickeln, die eine schnelle/einfache Erfahrung für die Nutzer, wenn Sie übertragen von einem service (auf domain1.com) zu einem anderen service (auf domain2.com). Ist es eine
8
Antworten
Als Vorherige diskutiert Bestätigungs-E-Mails sollte ein einzigartiges, (fast) un-guessable code--im wesentlichen eine one-time-password--in der Bestätigungs-link. Die UUID.randomUUID() docs sagen: Die UUID generiert wird, unter Verwendung einer kryptographisch starken pseudo-random number generator. Bedeutet dies, dass die UUID random
5
Antworten
Erleben wir einige slowdowns auf unserer web-app bereitgestellt, die auf einem Tomcat 5.5.17 auf einer Sun VM 1.5.0_06-b05 und unsere hosting-Unternehmen nicht, gibt genug Daten, um das problem zu finden. Wir erwägen, die Installation lambda-Sonde auf den
6
Antworten
Ich bin die Zusammenstellung einer Website, die stellen sich zur Verfügung für user-input. Ich Frage mich, ob das schreiben einer Funktion wie: if(getenv("HTTP_REFERER") != 'http://www.myURL.com/submitArea'){ die('don\'t be an jerk, ruin your own site'); }else{ //continue with form
4
Antworten
Ich habe immer die gleichen alten Fehler jedes mal, wenn ich testen eine neue URL von meinem browser die Adresse bar wenn ich returning Json (mit dem eingebauten MVC JsonResult helper): Diese Anforderung wurde blockiert, weil sensible
1
Antworten
Wie heap-overflow-Attacken getan werden? Bei stackoverflow Angriffe der Angreifer ersetzt die Funktion return Adresse mit seiner Adresse. Wie dies im heap-overflow-Attacken? Auch ist es möglich, code auszuführen, aus heap? InformationsquelleAutor der Frage chappar | 2009-03-20
11
Antworten
Ich würde gerne wissen, was die Menschen als "best practice" für die Sicherung der Admin Abschnitte von websites, speziell von einer Authentifizierung/access-point of view. Es gibt natürlich offensichtliche Dinge, wie die Verwendung von SSL und Protokollierung alle
9
Antworten
Ich versuche, erstellen einer Hash-Passwort für Laravel. Jetzt hat mir jemand gesagt verwenden Laravel hash-Helfer, aber ich kann nicht scheinen, um es zu finden oder ich bin auf der Suche in die falsche Richtung. Wie erstelle ich
2
Antworten
Irgendwie, schwebt über eine Google+ plus-one-widget vorstellen können, eine info-Angebot ist deutlich größer als die <iframe> element, in dem es enthalten ist. Ich habe besichtigt den DOM, um dies zu bestätigen.* Also: Was? Wie!? Ist das nicht
5
Antworten
Innerhalb von Ruby on Rails-Anwendungen, Datenbank.yml ist eine nur-text-Datei speichert die Datenbank-Anmeldedaten. Wenn ich mich bereitstellen, meine Rails-Anwendungen, die ich ein nach implementieren callback in meinem Capistrano Rezept erstellt einen symbolischen link innerhalb der Applikation /config-Verzeichnis in
2
Antworten
Habe ich gelesen, dass WSS funktioniert nur über HTTP, und das WSS funktioniert sowohl auf HTTP-und HTTPS. Sind WSS (Secure Web Socket -) verbindungen genauso sicher auf einem HTTP-server, wie Sie auf einem HTTPS-server? Ist ein Web-Socket
9
Antworten
Habe ich bemerkt, dass es seltsame Anfragen auf meiner website zu finden versuchen, um phpmyadmin, wie /phpmyadmin/ /pma/ etc. Habe ich nun installiert PMA auf Ubuntu via apt und möchte Zugriff über Webadresse unterscheidet sich von /phpmyadmin/.
6
Antworten
Jahren es der Fall, dass die Unix-Passwörter auf 8 Zeichen beschränkt, oder, dass, wenn Sie das Passwort mehr als 8 Zeichen die extra würde keinen Unterschied machen. Ist das immer noch der Fall ist auf den meisten
3
Antworten
Habe ich eine Django-webapp, die sowohl eine front-end, web-zugänglich-Komponente und eine API, die den Zugriff durch einen desktop-client. Aber jetzt mit der neuen CSRF middleware-Komponente, API-Anfragen, die von der desktop-client, POST ' bekommen einen 403. Ich verstehen,
3
Antworten
Ich versuche zu verstehen, das ganze Thema mit CSRF und geeignete Wege, um es zu verhindern. (Ressourcen, die ich gelesen haben, verstehen und Zustimmen: OWASP CSRF Prevention CHeat SheetFragen über CSRF-Angriffe.) Wie ich es verstehe, sind die
5
Antworten
Ich bin versucht, Eckig mit einer Liste von apps, und jeder einzelne ist ein link um zu sehen eine app in mehr detail (apps/app.id): <a id="{{app.id}}" href="apps/{{app.id}}" >{{app.name}}</a> Jedes mal, wenn ich auf einen dieser links, Chrome
2
Antworten
Ich bin immer ein Haufen Fehler in der Entwickler-Konsole: Weigerte sich zu bewerten, string Verweigert das ausführen von inline-script, weil es gegen die folgenden Content-Security-Policy-Richtlinie Weigerte sich, laden Sie das Skript Weigerte sich, das stylesheet laden Was
8
Antworten
Wenn auf einem login-Bildschirm Benutzer ein Formular abschickt, mit seinem Benutzernamen und Passwort, das Kennwort in Klartext gesendet wird (sogar mit POSTEN, dann korrigieren Sie mich wenn ich falsch Liege). Also die Frage ist, was ist der
17
Antworten
Gibt es eine catchall-Funktion irgendwo, die funktioniert gut für die Desinfektion der Benutzer Eingabe für SQL-injection und XSS-Angriffe, während immer noch so dass bestimmte Arten von html-tags? InformationsquelleAutor der Frage UltimateBrent | 2008-09-24
5
Antworten
Ich m macht einen ajax-call mit jQuery eine ASP.NET Seite, die fungiert als meine ajax-server-Seite zu speichern, die Daten, die ich sende, um es in der Abfrage-string. In der ASP.NET Seite, wenn ich versuche zu Lesen, die
4
Antworten
Gibt es ein äquivalent von der OS X-Schlüsselbund, verwendet zum speichern der Benutzer-Passwörter in Windows? Ich würde es verwenden, um zu speichern das Kennwort des Benutzers für einen Webdienst, der mein (desktop -) software verwendet. Sich aus
3
Antworten
Wird die angeforderten Inhalte über https noch zwischengespeichert werden, die von web-Browsern, oder Sie betrachten Sie dieses unsichere Verhalten? Wenn dies der Fall ist, ist es sowieso um Ihnen zu sagen, es ist ok, um cache? InformationsquelleAutor
9
Antworten
Ist es möglich zu stornieren sha1? Ich bin denken über die Verwendung einer sha1 zu erstellen, die ein einfaches, leichtes system zum authentifizieren eines kleinen embedded Systems, kommuniziert über eine unverschlüsselte Verbindung. Lassen Sie uns sagen, dass
4
Antworten
Was genau passiert im hintergrund, das macht es so SQLParameter verhindert, dass SQL-Inection Angriffe .NET Parametrisierte Abfrage? Ist es nur Strippen aus alle verdächtigen Zeichen oder gibt es noch mehr? Hat jemand da draußen überprüft, um zu
6
Antworten
Schrieb ich ein script zur Sicherung meiner MySQL-Datenbanken verwenden: mysqldump --opt --all-databases -u user -pmypassword > myDump.sql Einen cron startet es jede Nacht und scp das Ergebnis an einen anderen server. mypassword wird in klar in meinem
13
Antworten
Als Reaktion auf die jüngsten Twitter-Entführungen und Jeff ' s post auf Wörterbuch-Angriffewas ist der beste Weg, sichern Ihrer website gegen brute-force-login-Attacken? Jeffs post schlägt putting in einer zunehmenden Verzögerung für jeden versuchter login, und einen Vorschlag
3
Antworten
Gibt es eine Möglichkeit zum konfigurieren von Tomcat 7 zu erstellen JSESSIONID cookie mit einem secure-flag in alle Gelegenheiten? Üblichen Konfiguration Ergebnisse in Tomcat Kennzeichnen session-cookie mit dem secure-flag nur, wenn die Verbindung erfolgt über https. Jedoch
4
Antworten
In einem meiner letzten Projekte, die ich begann, indem Sie .gitignoring die Dateien, die mit Geheimnissen und Umgebungsvariablen. Also das gesamte Projekt setzt sich für die repo-mit Ausnahme der Dateien, die enthalten Geheimnisse Dritter Parteien wie die
4
Antworten
Ich verstehe nicht, wie mit einem "challenge-token' möchte hinzufügen, jede Art von Prävention: welchen Wert sollte im Vergleich mit was? Vom OWASP: Im Allgemeinen müssen Entwickler nur generiert das token, sobald für die aktuelle Sitzung. Nach anfänglichen
2
Antworten
Habe ich gearbeitet, mit Sockel.IO für ein paar Tage und es ist schon sehr spannend und noch mehr frustrierend. Die fehlende aktuelle Dokumentation/tutorials gemacht hat, lernen Sie es sehr schwierig. Ich habe es endlich geschafft, erstellen Sie
3
Antworten
Ich habe Schwierigkeiten zu verstehen, die grundlegenden Konzepte des ASN.1. Wenn ein Typ eine OID, hat die entsprechende Anzahl erhalten tatsächlich codiert im Binär-Daten? Beispielsweise in dieser definition: id-ad-ocsp OBJECT IDENTIFIER ::= { id-ad 1 } Nicht
5
Antworten
Ich bin die Entwicklung einer lokalen recherche-tool, das verlangt, dass ich zum ausschalten Firefox die same-origin-policy (in Bezug auf die Skripts zugreifen, ich weiß nicht wirklich, über cross-domain-requests). Genauer gesagt, möchte ich Skripte im host-Domäne in der
1
Antworten
Kürzlich hatten wir ein security-audit auf unserem code, und eines der problem ist, dass unsere Anwendung unterliegt den Xml EXternal Entity (XXE) Angriff. Grundsätzlich die Anwendung ist ein Rechner, der empfängt Eingaben als XML -, durch-a-Web-Service. Hier
14
Antworten
Ich Lesen zu halten, ist es schlechte Praxis, um die PHP-close-tag ?> am Ende der Datei. Das header-problem scheint irrelevant in folgendem Zusammenhang (und das ist das einzige gute argument so far): Moderne Versionen von PHP gesetzt,
18
Antworten
Rede ich über ein action-Spiel mit nach oben keine Partitur beschränken und keine Möglichkeit zu überprüfen, wird die Punktzahl auf dem server durch die Wiedergabe von bewegt etc. Was ich wirklich brauchen, ist die stärkste Verschlüsselung möglich
12
Antworten
Insbesondere ist dies in Bezug auf, wenn eine client-session-cookie zu identifizieren, die eine Sitzung auf dem server. Ist die beste Antwort, die die Verwendung von SSL/HTTPS-Verschlüsselung für die gesamte Website, und Sie haben die beste Garantie, dass
5
Antworten
Bekomme ich diese Meldung, wenn ich versuche, Zugriff auf ein web service von Jquery liegt in der SELBEN URL (aber anderes Verzeichnis). Ich weiß, es ist IE-Sicherheitseinstellung. Die Frage ist, wie unterdrücke ich es...sicherlich, die Menschen nicht