Tag: security

Themen im Zusammenhang mit der Anwendung Sicherheit und die Angriffe gegen die software. Bitte verwenden Sie nicht dieser tag allein, dass die Ergebnisse in Zweifel.
Wenn Ihre Frage ist nicht eine spezifische Programmierung problem, denken Sie bitte, stattdessen zu Fragen, es bei der Information Security SE: https://security.stackexchange.com

Wie setze ich Jenkins Sicherheitseinstellungen von der Kommandozeile zurück?

Anzahl der Antworten 18 Antworten
Gibt es eine Möglichkeit zum zurücksetzen aller (oder nur deaktivieren Sie die Sicherheits-Einstellungen) von der Befehlszeile aus, ohne eine user/Passwort wie ich es geschafft habe, komplett sperren mich aus Jenkins? InformationsquelleAutor der Frage ryanzec | 2011-08-08

In welchen Fällen ist HTTP_REFERER leer?

Anzahl der Antworten 4 Antworten
Ich weiß, es ist möglich, einen leeren HTTP_REFERER. Unter welchen Umständen geschieht dies? Wenn ich eine leere, es tut immer bedeuten, dass der Benutzer es geändert? Ist immer eine leere, die gleiche wie immer ein null-eins? und

Beispiele für anfälligen PHP-Code?

Anzahl der Antworten 16 Antworten
Ok also ich und ein Freund sind dabei eine mini-Präsentation auf PHP-Sicherheit (ich bin nicht wirklich in PHP wäre) und er bat mich, finden Sie einige Beispiele von verwundbaren PHP-code (eine, die anfällig für SQL-Injektionen und alle

Keystore-Typ: Welcher zu verwenden?

Anzahl der Antworten 2 Antworten
Suchen Sie in der Datei java.security meiner JRE sehe ich, dass die keystore-Typ zu verwenden, die standardmäßig eingestellt ist JKS. Hieres gibt eine Liste von der keystore-Typen, die verwendet werden können. Gibt es eine empfohlene keystore-Typ? Was

Nicht zufälliges Salz für Passwort-Hashes

Anzahl der Antworten 9 Antworten
UPDATE: ich habe vor kurzem gelernt, aus diese Fragedass in der gesamten Diskussion unten, ich (und ich bin sicher, andere auch) war ein bisschen verwirrend: Was ich zu halten, ruft eine rainbow-Tabelle ist in der Tat aufgerufen,

Warum wird SSLCertificateKeyFile für Apache benötigt?

Anzahl der Antworten 3 Antworten
Was ist der technische Grund, dass SSLCertificateKeyFile benötigt wird (der private Schlüssel)? Wo ist das und für was? InformationsquelleAutor der Frage Tower | 2011-01-27

Wie übergibt man den Wert einer Variablen an die stdin eines Befehls?

Anzahl der Antworten 8 Antworten
Ich Schreibe ein shell-Skript, das sollte etwas sicherer ist, D. H. nicht-pass-sichere Daten über die Parameter der Befehle und vorzugsweise nicht verwendet temporäre Dateien. Wie kann ich übergeben Sie eine variable, um die Standardeingabe für ein Kommando?

Warum beschränkt der IE die JavaScript-Dateien lokaler HTML-Seiten?

Anzahl der Antworten 2 Antworten
Warum IE einschränken von JavaScript-Dateien arbeiten, wenn wir uns öffnen einer lokalen html-Datei? Die Nachricht sagt: "Um Ihre Sicherheit zu schützen, den Internet explorer beschränkt hat, diese web-Seite aus ausführen von Skripts oder ActiveX-Steuerelemente, die auf den

Wie verwende ich Apple Keychain?

Anzahl der Antworten 1 Antworten
Ich bin mit versuchen, zu verwenden scifihifi-iphone (von Github) zum speichern und abrufen von Benutzernamen und Passwörtern. Allerdings, wenn ich die Klasse SFHFKeychainUtils bekomme ich folgenden Fehler: "_kSecAttrAccount", referenced from: _kSecAttrAccount$non_lazy_ptr in SFHFKeychainUtils.o "_SecItemDelete", referenced from: +[SFHFKeychainUtils

Zählen Sie alle Schlüsselbundelemente in meiner iOS-Anwendung auf

Anzahl der Antworten 3 Antworten
Was ist der einfachste Weg, um programmgesteuert (aus meiner app) bekommen alle Elemente, die im Schlüsselbund gespeichert? Es hat wahrscheinlich etwas zu tun mit SecItemCopyMatching(), aber die Dokumentation für diese Funktion ist nicht sehr klar (und ich

Verwenden von HMAC-SHA1 für die API-Authentifizierung - Wie kann das Client-Passwort sicher gespeichert werden?

Anzahl der Antworten 3 Antworten
In eine RESTful-API, die verwendet S3-Stil Authentifizierung der API-client signiert die Anfrage mit seinem geheimen Schlüssel mittels HMAC-SHA1, so dass der geheime Schlüssel wird nie übertragen über die Leitung. Der server authentifiziert sich dem client mit, dass

Spring MVC - Überprüfen, ob der Benutzer bereits über Spring Security angemeldet ist?

Anzahl der Antworten 3 Antworten
Ich habe eine Spring-MVC-Anwendung.Es verwendet eine eigene benutzerdefinierte Login-Seite. Nach erfolgreicher Anmeldung eine "LOGGED_IN_USER' - Objekt in der HTTPSession. Ich will damit nur authentifizierte Benutzer Zugriff auf URLs. Ich weiß, ich kann erreichen dies, indem Sie eine

Wie sicher ist PHP?

Anzahl der Antworten 8 Antworten
Ich bin etwas neu auf PHP-Programmierung und ich bin mir bewusst, dass Hacker hacken eine website wenn Sie nicht desinfiziert Ihre PHP-code. Was ich mich Frage ist, ob Sie ein Daten-Eintrag-box (wie für Datei-Vorlagen oder Benutzer-name/Passwort-Eingabe-Felder)?. Tun,

Cross Domain Login - Wie man einen Benutzer automatisch anmeldet, wenn er von einer Domäne in eine andere übertragen wird

Anzahl der Antworten 5 Antworten
Wir bieten eine Reihe von online-Diensten. Wir sind verpflichtet, ein system zu entwickeln, die eine schnelle/einfache Erfahrung für die Nutzer, wenn Sie übertragen von einem service (auf domain1.com) zu einem anderen service (auf domain2.com). Ist es eine

Ist UUID.randomUUID () für die Verwendung als Einmalpasswort geeignet?

Anzahl der Antworten 8 Antworten
Als Vorherige diskutiert Bestätigungs-E-Mails sollte ein einzigartiges, (fast) un-guessable code--im wesentlichen eine one-time-password--in der Bestätigungs-link. Die UUID.randomUUID() docs sagen: Die UUID generiert wird, unter Verwendung einer kryptographisch starken pseudo-random number generator. Bedeutet dies, dass die UUID random

Ist es eine gute Idee, jmx (Lambda Probe) auf einem Produktionsserver zu aktivieren?

Anzahl der Antworten 5 Antworten
Erleben wir einige slowdowns auf unserer web-app bereitgestellt, die auf einem Tomcat 5.5.17 auf einer Sun VM 1.5.0_06-b05 und unsere hosting-Unternehmen nicht, gibt genug Daten, um das problem zu finden. Wir erwägen, die Installation lambda-Sonde auf den

PHP Formularsicherheit mit Referer

Anzahl der Antworten 6 Antworten
Ich bin die Zusammenstellung einer Website, die stellen sich zur Verfügung für user-input. Ich Frage mich, ob das schreiben einer Funktion wie: if(getenv("HTTP_REFERER") != 'http://www.myURL.com/submitArea'){ die('don\'t be an jerk, ruin your own site'); }else{ //continue with form

Welche "sensiblen Informationen" könnten beim Einstellen von JsonRequestBehavior auf AllowGet offen gelegt werden?

Anzahl der Antworten 4 Antworten
Ich habe immer die gleichen alten Fehler jedes mal, wenn ich testen eine neue URL von meinem browser die Adresse bar wenn ich returning Json (mit dem eingebauten MVC JsonResult helper): Diese Anforderung wurde blockiert, weil sensible

Heap-Überlauf-Angriffe

Anzahl der Antworten 1 Antworten
Wie heap-overflow-Attacken getan werden? Bei stackoverflow Angriffe der Angreifer ersetzt die Funktion return Adresse mit seiner Adresse. Wie dies im heap-overflow-Attacken? Auch ist es möglich, code auszuführen, aus heap? InformationsquelleAutor der Frage chappar | 2009-03-20

Was sind Best Practices für die Sicherung des Admin-Bereichs einer Website?

Anzahl der Antworten 11 Antworten
Ich würde gerne wissen, was die Menschen als "best practice" für die Sicherung der Admin Abschnitte von websites, speziell von einer Authentifizierung/access-point of view. Es gibt natürlich offensichtliche Dinge, wie die Verwendung von SSL und Protokollierung alle

Wie erstelle ich ein Laravel-Hash-Passwort?

Anzahl der Antworten 9 Antworten
Ich versuche, erstellen einer Hash-Passwort für Laravel. Jetzt hat mir jemand gesagt verwenden Laravel hash-Helfer, aber ich kann nicht scheinen, um es zu finden oder ich bin auf der Suche in die falsche Richtung. Wie erstelle ich

Wie brechen Google+ +1-Widgets ihren Iframe aus?

Anzahl der Antworten 2 Antworten
Irgendwie, schwebt über eine Google+ plus-one-widget vorstellen können, eine info-Angebot ist deutlich größer als die <iframe> element, in dem es enthalten ist. Ich habe besichtigt den DOM, um dies zu bestätigen.* Also: Was? Wie!? Ist das nicht

Wie sichern Sie database.yml?

Anzahl der Antworten 5 Antworten
Innerhalb von Ruby on Rails-Anwendungen, Datenbank.yml ist eine nur-text-Datei speichert die Datenbank-Anmeldedaten. Wenn ich mich bereitstellen, meine Rails-Anwendungen, die ich ein nach implementieren callback in meinem Capistrano Rezept erstellt einen symbolischen link innerhalb der Applikation /config-Verzeichnis in

WSS auf HTTP vs WSS auf HTTPS

Anzahl der Antworten 2 Antworten
Habe ich gelesen, dass WSS funktioniert nur über HTTP, und das WSS funktioniert sowohl auf HTTP-und HTTPS. Sind WSS (Secure Web Socket -) verbindungen genauso sicher auf einem HTTP-server, wie Sie auf einem HTTPS-server? Ist ein Web-Socket

So sichern Sie phpMyAdmin

Anzahl der Antworten 9 Antworten
Habe ich bemerkt, dass es seltsame Anfragen auf meiner website zu finden versuchen, um phpmyadmin, wie /phpmyadmin/ /pma/ etc. Habe ich nun installiert PMA auf Ubuntu via apt und möchte Zugriff über Webadresse unterscheidet sich von /phpmyadmin/.

Sind Kennwörter auf modernen Unix / Linux-Systemen noch auf 8 Zeichen begrenzt?

Anzahl der Antworten 6 Antworten
Jahren es der Fall, dass die Unix-Passwörter auf 8 Zeichen beschränkt, oder, dass, wenn Sie das Passwort mehr als 8 Zeichen die extra würde keinen Unterschied machen. Ist das immer noch der Fall ist auf den meisten

Mit einer POST'able API und Djangos CSRF Middleware

Anzahl der Antworten 3 Antworten
Habe ich eine Django-webapp, die sowohl eine front-end, web-zugänglich-Komponente und eine API, die den Zugriff durch einen desktop-client. Aber jetzt mit der neuen CSRF middleware-Komponente, API-Anfragen, die von der desktop-client, POST ' bekommen einen 403. Ich verstehen,

Warum werden CSRF-Präventionstoken häufig in Cookies gespeichert?

Anzahl der Antworten 3 Antworten
Ich versuche zu verstehen, das ganze Thema mit CSRF und geeignete Wege, um es zu verhindern. (Ressourcen, die ich gelesen haben, verstehen und Zustimmen: OWASP CSRF Prevention CHeat SheetFragen über CSRF-Angriffe.) Wie ich es verstehe, sind die

AngularJS ändert die URLs auf der Erweiterungsseite in "unsafe:"

Anzahl der Antworten 5 Antworten
Ich bin versucht, Eckig mit einer Liste von apps, und jeder einzelne ist ein link um zu sehen eine app in mehr detail (apps/app.id): <a id="{{app.id}}" href="apps/{{app.id}}" >{{app.name}}</a> Jedes mal, wenn ich auf einen dieser links, Chrome

Wie funktioniert die Inhaltssicherheitsrichtlinie?

Anzahl der Antworten 2 Antworten
Ich bin immer ein Haufen Fehler in der Entwickler-Konsole: Weigerte sich zu bewerten, string Verweigert das ausführen von inline-script, weil es gegen die folgenden Content-Security-Policy-Richtlinie Weigerte sich, laden Sie das Skript Weigerte sich, das stylesheet laden Was

Wie kann ich ein Passwort sicher über HTTP senden?

Anzahl der Antworten 8 Antworten
Wenn auf einem login-Bildschirm Benutzer ein Formular abschickt, mit seinem Benutzernamen und Passwort, das Kennwort in Klartext gesendet wird (sogar mit POSTEN, dann korrigieren Sie mich wenn ich falsch Liege). Also die Frage ist, was ist der

Was ist die beste Methode, um Benutzereingaben mit PHP zu bereinigen?

Anzahl der Antworten 17 Antworten
Gibt es eine catchall-Funktion irgendwo, die funktioniert gut für die Desinfektion der Benutzer Eingabe für SQL-injection und XSS-Angriffe, während immer noch so dass bestimmte Arten von html-tags? InformationsquelleAutor der Frage UltimateBrent | 2008-09-24

Ein potenziell gefährlicher Request.QueryString-Wert wurde vom Client beim Senden von HTML-Markup vom jquery-Postaufruf an asp.net-Seite erkannt

Anzahl der Antworten 5 Antworten
Ich m macht einen ajax-call mit jQuery eine ASP.NET Seite, die fungiert als meine ajax-server-Seite zu speichern, die Daten, die ich sende, um es in der Abfrage-string. In der ASP.NET Seite, wenn ich versuche zu Lesen, die

Windows-Äquivalent von OS X Keychain?

Anzahl der Antworten 4 Antworten
Gibt es ein äquivalent von der OS X-Schlüsselbund, verwendet zum speichern der Benutzer-Passwörter in Windows? Ich würde es verwenden, um zu speichern das Kennwort des Benutzers für einen Webdienst, der mein (desktop -) software verwendet. Sich aus

Werden Web-Browser Inhalt über https cachen

Anzahl der Antworten 3 Antworten
Wird die angeforderten Inhalte über https noch zwischengespeichert werden, die von web-Browsern, oder Sie betrachten Sie dieses unsichere Verhalten? Wenn dies der Fall ist, ist es sowieso um Ihnen zu sagen, es ist ok, um cache? InformationsquelleAutor

Ist es möglich, einen sha1 umzukehren?

Anzahl der Antworten 9 Antworten
Ist es möglich zu stornieren sha1? Ich bin denken über die Verwendung einer sha1 zu erstellen, die ein einfaches, leichtes system zum authentifizieren eines kleinen embedded Systems, kommuniziert über eine unverschlüsselte Verbindung. Lassen Sie uns sagen, dass

Wie verhindert SQLParameter SQL Injection?

Anzahl der Antworten 4 Antworten
Was genau passiert im hintergrund, das macht es so SQLParameter verhindert, dass SQL-Inection Angriffe .NET Parametrisierte Abfrage? Ist es nur Strippen aus alle verdächtigen Zeichen oder gibt es noch mehr? Hat jemand da draußen überprüft, um zu

Mysqldump gestartet von Cron und Passwort Sicherheit

Anzahl der Antworten 6 Antworten
Schrieb ich ein script zur Sicherung meiner MySQL-Datenbanken verwenden: mysqldump --opt --all-databases -u user -pmypassword > myDump.sql Einen cron startet es jede Nacht und scp das Ergebnis an einen anderen server. mypassword wird in klar in meinem

Verhindern von Brute-Force-Logins auf Websites

Anzahl der Antworten 13 Antworten
Als Reaktion auf die jüngsten Twitter-Entführungen und Jeff ' s post auf Wörterbuch-Angriffewas ist der beste Weg, sichern Ihrer website gegen brute-force-login-Attacken? Jeffs post schlägt putting in einer zunehmenden Verzögerung für jeden versuchter login, und einen Vorschlag

Erzwingt, dass Tomcat das sichere JSESSIONID-Cookie über http verwendet

Anzahl der Antworten 3 Antworten
Gibt es eine Möglichkeit zum konfigurieren von Tomcat 7 zu erstellen JSESSIONID cookie mit einem secure-flag in alle Gelegenheiten? Üblichen Konfiguration Ergebnisse in Tomcat Kennzeichnen session-cookie mit dem secure-flag nur, wenn die Verbindung erfolgt über https. Jedoch

Wie verwende ich secrets.yml für API_KEYS in Rails 4.1?

Anzahl der Antworten 4 Antworten
In einem meiner letzten Projekte, die ich begann, indem Sie .gitignoring die Dateien, die mit Geheimnissen und Umgebungsvariablen. Also das gesamte Projekt setzt sich für die repo-mit Ausnahme der Dateien, die enthalten Geheimnisse Dritter Parteien wie die

CSRF verstehen

Anzahl der Antworten 4 Antworten
Ich verstehe nicht, wie mit einem "challenge-token' möchte hinzufügen, jede Art von Prävention: welchen Wert sollte im Vergleich mit was? Vom OWASP: Im Allgemeinen müssen Entwickler nur generiert das token, sobald für die aktuelle Sitzung. Nach anfänglichen

Wie sichere ich Socket.IO?

Anzahl der Antworten 2 Antworten
Habe ich gearbeitet, mit Sockel.IO für ein paar Tage und es ist schon sehr spannend und noch mehr frustrierend. Die fehlende aktuelle Dokumentation/tutorials gemacht hat, lernen Sie es sehr schwierig. Ich habe es endlich geschafft, erstellen Sie

Wie codiert ASN.1 eine Objektkennung?

Anzahl der Antworten 3 Antworten
Ich habe Schwierigkeiten zu verstehen, die grundlegenden Konzepte des ASN.1. Wenn ein Typ eine OID, hat die entsprechende Anzahl erhalten tatsächlich codiert im Binär-Daten? Beispielsweise in dieser definition: id-ad-ocsp OBJECT IDENTIFIER ::= { id-ad 1 } Nicht

Deaktivieren Sie die firefox-Richtlinie für denselben Ursprung

Anzahl der Antworten 5 Antworten
Ich bin die Entwicklung einer lokalen recherche-tool, das verlangt, dass ich zum ausschalten Firefox die same-origin-policy (in Bezug auf die Skripts zugreifen, ich weiß nicht wirklich, über cross-domain-requests). Genauer gesagt, möchte ich Skripte im host-Domäne in der

Verhindere XXE Angriff mit JAXB

Anzahl der Antworten 1 Antworten
Kürzlich hatten wir ein security-audit auf unserem code, und eines der problem ist, dass unsere Anwendung unterliegt den Xml EXternal Entity (XXE) Angriff. Grundsätzlich die Anwendung ist ein Rechner, der empfängt Eingaben als XML -, durch-a-Web-Service. Hier

Warum sollte man das Close-Tag weglassen?

Anzahl der Antworten 14 Antworten
Ich Lesen zu halten, ist es schlechte Praxis, um die PHP-close-tag ?> am Ende der Datei. Das header-problem scheint irrelevant in folgendem Zusammenhang (und das ist das einzige gute argument so far): Moderne Versionen von PHP gesetzt,

Was ist der beste Weg, um Leute davon abzuhalten, die PHP-basierte Highscore-Tabelle eines Flash-Spiels zu hacken?

Anzahl der Antworten 18 Antworten
Rede ich über ein action-Spiel mit nach oben keine Partitur beschränken und keine Möglichkeit zu überprüfen, wird die Punktzahl auf dem server durch die Wiedergabe von bewegt etc. Was ich wirklich brauchen, ist die stärkste Verschlüsselung möglich

Was ist der beste Weg, um Session-Hijacking zu verhindern?

Anzahl der Antworten 12 Antworten
Insbesondere ist dies in Bezug auf, wenn eine client-session-cookie zu identifizieren, die eine Sitzung auf dem server. Ist die beste Antwort, die die Verwendung von SSL/HTTPS-Verschlüsselung für die gesamte Website, und Sie haben die beste Garantie, dass

So unterdrücken Sie "Diese Seite greift auf Informationen zu, die nicht unter ihrer Kontrolle stehen"

Anzahl der Antworten 5 Antworten
Bekomme ich diese Meldung, wenn ich versuche, Zugriff auf ein web service von Jquery liegt in der SELBEN URL (aber anderes Verzeichnis). Ich weiß, es ist IE-Sicherheitseinstellung. Die Frage ist, wie unterdrücke ich es...sicherlich, die Menschen nicht