Tag: security

Themen im Zusammenhang mit der Anwendung Sicherheit und die Angriffe gegen die software. Bitte verwenden Sie nicht dieser tag allein, dass die Ergebnisse in Zweifel.
Wenn Ihre Frage ist nicht eine spezifische Programmierung problem, denken Sie bitte, stattdessen zu Fragen, es bei der Information Security SE: https://security.stackexchange.com

PHP Session Fixierung / Hijacking

Anzahl der Antworten 5 Antworten
Ich versuche zu verstehen, mehr über PHP Session Fixation & hijacking und wie man diese Probleme verhindern. Ich habe seit der Lektüre der folgenden beiden Artikel auf Chris Shiflett ' s website: Session Fixation Session Hijacking Allerdings

Welche SHA-256 ist richtig? Der Java SHA-256-Digest oder das Linux-Kommandozeilen-Tool

Anzahl der Antworten 7 Antworten
Wenn ich berechnen in Java ein SHA-256 eine Zeichenkette mit der folgenden Methode public static void main(String args) throws NoSuchAlgorithmException { MessageDigest md = MessageDigest.getInstance("SHA-256"); byte hash = md.digest("password".getBytes()); StringBuffer sb = new StringBuffer(); for(byte b :

Warum ist es nicht ratsam, die Datenbank und den Webserver auf demselben Computer zu haben?

Anzahl der Antworten 18 Antworten
Hören von Scott Hanselman ' s interview mit der Stack-Overflow-team (Teil 1 und Zwei), er war felsenfest davon überzeugt, dass der SQL-server und application-server auf getrennten Maschinen. Ist das einfach nur, um sicherzustellen, dass wenn einer der

Wie kann ich die open_basedir-Einschränkung von PHP lockern?

Anzahl der Antworten 3 Antworten
open_basedir begrenzt die Dateien, die geöffnet werden können, die von PHP in einem Verzeichnis-Baum. Ich bin das speichern von mehreren class-Bibliotheken und Konfigurationsdateien außerhalb des web-root-Verzeichnis. Diese Art der web-server nicht öffentlich zugänglich zu machen. Jedoch, wenn

Autorisierungsansätze und Entwurfsmuster für Node.js-Anwendungen

Anzahl der Antworten 4 Antworten
Baue ich eine mehrere Seite admin-interface für eine interne enterprise-software-Plattform. Denke, dass viele von glue logic zusammenbinden verschiedene APIs, db-Abfragen, und shell-Skripte. Werden wir mit node.js das express-framework (einschließlich jade-templates), und LDAP für die Authentifizierung. Ich bin

So bewahren Sie die Clientanmeldeinformationen vertraulich auf, während Sie den Berechtigungstyp "Ressourceneignerkennwortberechtigungen" für OAuth2 verwenden

Anzahl der Antworten 1 Antworten
Bauen wir einen rest-Dienst, und wir wollen OAauth 2 für die Zulassung. Die aktuellen Entwurf (v2-16 von 19 Mai) beschreibt vier grant-Typen. Sie sind Mechanismen oder fließt für die Autorisierung (access token). Autorisierungs-Code Implizite Gewährung Ressource Besitzer

XSS-Prävention in der JSP / Servlet-Webanwendung

Anzahl der Antworten 8 Antworten
Wie kann ich verhindern, XSS-Angriffe in einer JSP/Servlet web-Anwendung? InformationsquelleAutor der Frage newbie | 2010-04-17

"Keep Me Logged In" - der beste Ansatz

Anzahl der Antworten 12 Antworten
Meine web-Anwendung verwendet-Sitzungen zum speichern von Informationen über den Benutzer, sobald Sie angemeldet haben, und zu behaupten, dass Informationen, wie Sie Reisen von Seite zu Seite innerhalb der app. In dieser speziellen Anwendung, ich bin die Speicherung

Was ist Cross Site Script-Aufnahme (XSSI)?

Anzahl der Antworten 3 Antworten
Ich habe vor kurzem gesehen, XSSI erwähnt, auf mehreren Seiten, z.B. Web Application Exploits and Defenses: Browser verhindern, dass Seiten von einer domain von Seiten Lesen, in anderen Domänen. Aber nicht verhindern, dass die Seiten einer domain

Brauche ich ein CSRF-Token für jQuery .ajax ()?

Anzahl der Antworten 3 Antworten
Also ich hab ein basic .ajax () - Methode POST an eine PHP-Datei. Welche Sicherheitsmaßnahmen brauche ich? Ein paar Beiträge gab, erwähnen Sie ein verborgenes MD5-input-Feld aus, das Sie senden via AJAX und überprüfen Sie in der

Was ist der sicherste Startwert für die Generierung von Zufallszahlen?

Anzahl der Antworten 20 Antworten
Was sind die sichersten Quellen der Entropie zu seed eine Zufallszahl-generator? Diese Frage ist Sprach-und Plattform-unabhängig und gilt für jede Maschine ein Netzwerk zu. Idealerweise bin ich auf der Suche nach Quellen zur Verfügung, die eine Maschine

Wie sicher ist mein PHP-Anmeldesystem?

Anzahl der Antworten 5 Antworten
Ich bin neu in PHP und dies ist auch mein Erster log-in-system, so wäre es toll, wenn Jungs Sie könnten sich über meine code und sehen Sie, wenn Sie Sie vor Ort alle Sicherheitslücken: Hinweis: ich bin

FileNotFoundException mit dem SPSite-Konstruktor

Anzahl der Antworten 20 Antworten
Ich versuche zum instanziieren eine Instanz der SPSite auf der farm-server, in einem benutzerdefinierten Prozess - (MyApp.exe -) und ich gebe es als parameter die gesamte URI (http://mysite:80/). Ich habe auch sicher, dass das Konto läuft MyApp.exe

Sind PDO-vorbereitete Anweisungen ausreichend, um eine SQL-Injektion zu verhindern?

Anzahl der Antworten 7 Antworten
Sagen wir, ich habe code wie folgt: $dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM users where username = :username'); $stmt->execute( array(':username' => $_REQUEST['username']) ); PDO-Dokumentation sagt: Die Parameter für prepared statements müssen nicht zitiert zu

Welche von sprintf / snprintf ist sicherer?

Anzahl der Antworten 7 Antworten
Möchte ich wissen, welche dieser beiden Optionen ist desto sicherer zu benutzen ist: #define MAXLEN 255 char buff[MAXLEN + 1] sprintf(buff, "%.*s", MAXLEN, name) snprintf(buff, MAXLEN, "%s", name) Mein Verständnis ist, dass beide gleich sind. Bitte vorschlagen.

Wie implementiert man Passwort zurückgesetzt?

Anzahl der Antworten 6 Antworten
Arbeite ich an einer Anwendung in ASP.NET und Frage mich, wie genau ich das umsetzen konnte ein Password Reset Funktion, wenn ich wollte, roll meine eigenen. Speziell habe ich folgende Fragen: Was ist eine gute Methode für

Wie kann ich den Benutzerprinzipal in einem benutzerdefinierten WebAPI-HttpMessageHandler sicher festlegen?

Anzahl der Antworten 3 Antworten
Für die basic-Authentifizierung habe ich implementiert eine benutzerdefinierte HttpMessageHandler basiert auf dem Beispiel in Darin dimitrovs Antwort hier: https://stackoverflow.com/a/11536349/270591 Erstellt der code eine Instanz principal Typ GenericPrincipal mit Benutzernamen und Rollen und setzt dann diesen AUFTRAGGEBER, um

Wann werden Benutzerrollen aktualisiert und wie werden sie erzwungen?

Anzahl der Antworten 7 Antworten
First off, ich bin nicht mit FOSUserBundle und kann ich nicht, weil ich die Portierung von legacy-Systems, das seine eigenen Modell-Ebene (keine Lehre/Mongo/auch immer hier) und andere sehr individuelle Verhalten. Ich versuche eine Verbindung zu meinem legacy-Rolle-system

Android RSA Keypair Generation - Soll ich Standard Java / Hüpfburg / Spongy Castle / JSch / Other?

Anzahl der Antworten 2 Antworten
Ich habe auf der Suche rund um für etwa eine Woche+ implementieren Sie eine Methode, die ich im Sinn haben. Ich stieß auf (und Lesen) Sie viele Artikel, die auf alle diese verschiedenen Methoden, aber ich bin

Wie man den Ordnerzugriff in asp.net einschränkt

Anzahl der Antworten 4 Antworten
So beschränken Sie den Zugriff auf Ordner in asp.net wie ich nicht wollen, dass andere sehen "meine Uploads" - Ordner im browser von link http://www.example.com/Uploads Kommentar zu dem Problem Die Standardeinstellungen für diese sollten dann nicht navigierbar

Anpassen der Autorisierung in ASP.NET MVC

Anzahl der Antworten 2 Antworten
Meine Controller-Klasse ist geschmückt mit einem AuthorizeAttribute zum Schutz der Aktionen: [Authorize(Roles = "User Level 2")] public class BuyController : Controller { ... } Jederzeit eine Aktion wird aufgerufen, aber der Benutzer nicht in der mindestens die

Wie kann ich ein java.security.PublicKey-Objekt aus einer Base64-codierten Zeichenfolge erstellen?

Anzahl der Antworten 3 Antworten
Ich habe eine bse64encoded string Public key von externer Quelle (Android Store) und ich brauche, um es zu verwenden, um zu überprüfen, signierten Inhalts an. Wie kann ich umwandeln des string in eine Instanz von java.Sicherheit.PublicKey-Schnittstelle. Ich

Wie implementieren Sie die Authentifizierung in servicestack.net?

Anzahl der Antworten 1 Antworten
Ich bin untersucht servicestack.net - aber ist es Beispiele und Artikel scheinen nicht zu decken-Authentifizierung - ist das etwas, was behandelt servicestack.net - und wenn ja, wie? Insbesondere bin ich daran interessiert, die Durchführung support für: OAuth

Ajax in PHP erkennen und sicherstellen, dass die Anfrage von meiner eigenen Website stammt

Anzahl der Antworten 7 Antworten
Ich meine PHP-Backend zu erkennen AJAX-Anfragen, indem Sie für Sie einen Wert in $_SERVER['HTTP_X_REQUESTED_WITH']. Dieser gibt mir eine zuverlässige Erkennung, so dass Sie sicher, dass die Anforderung unter Verwendung von AJAX-Techniken. Wie kann ich sicherstellen, dass die

Unterschied zwischen gcc -D_FORTIFY_SOURCE = 1 und -D_FORTIFY_SOURCE = 2

Anzahl der Antworten 2 Antworten
Kann jemand darauf hin, den Unterschied zwischen gcc -D_FORTIFY_SOURCE=1 und -D_FORTIFY_SOURCE=2? Ich denke =2 sicherer ist? Ich habe nicht in der Lage zu finden, eine Liste, die Listen Unterschiede Punkt für Punkt. Ich habe auch gelesen, dass

Login ohne HTTPS, wie sichern?

Anzahl der Antworten 20 Antworten
Für eine webapplication, wenn HTTPS nicht verfügbar ist als Sicherheitsmaßnahme, ist es möglich, immer noch das login etwas sicherer? E. g.: Tokenisierung Anmeldungen zu machen, wiederholen Sie die Angriffe erschwert werden? Irgendwie verschlüsseln der gesendeten Passwort aus

Best Practice für die Web-API-Authentifizierung

Anzahl der Antworten 2 Antworten
Welche ist die beste Authentifizierung Ansatz für eine Web-API, wenn man bedenkt, dass die Datensicherheit ist die Voraussetzung und die ASP.NET die Anwendung läuft auf Azure? InformationsquelleAutor der Frage Guilherme Ferreira | 2012-08-31

Was ist die beste Vorgehensweise für den Umgang mit Passwörtern in Git-Repositories?

Anzahl der Antworten 5 Antworten
Ich habe ein kleines Bash-script, dass ich verwenden, um den Zugriff auf twitter und pop-up eine Growl-Benachrichtigung in bestimmten Situationen. Was ist die beste Art das zu handhaben, zu speichern mein Passwort mit dem Skript? Möchte ich

Wechseln Sie innerhalb eines Python-Skripts zum sudo-Benutzer

Anzahl der Antworten 8 Antworten
Habe ich ein problem. Ich Schreibe ein Stück software, die erforderlich ist, um eine operation, die erfordert, dass der Benutzer in der sudo-Modus. ausführen von "sudo python filename.py" ist nicht eine option, das führt mich zu meiner

Ist es sicher, Passwörter als Umgebungsvariablen (anstatt als einfacher Text) in Konfigurationsdateien zu speichern?

Anzahl der Antworten 4 Antworten
Arbeite ich an ein paar apps in rails, django (und ein bisschen php), und eines der Dinge, die ich begonnen, in einigen von Ihnen ist die Speicherung von Datenbank und andere Kennwörter als Umgebungsvariablen lieber als nur-text

Warum java.security.NoSuchProviderException Kein solcher Provider: BC?

Anzahl der Antworten 4 Antworten
Die jar - (bcprov-jdk16-145.jar) wurde Hinzugefügt, um das Projekt Security.addProvider(new org.bouncycastle.jce.provider.BouncyCastleProvider()) wurde Hinzugefügt, um die Klasse, und BouncyCastleProvider.PROVIDER_NAME zurück "BC", aber AesFileIo.writeFile() noch wirft java.security.NoSuchProviderException No such provider: BC. Irgendwelche Ideen? import java.io.FileOutputStream; import java.io.InputStreamReader; import java.io.ObjectOutputStream;

Wie man $ _SERVER ['REMOTE_ADDR'] Variable vortäuscht?

Anzahl der Antworten 7 Antworten
Ist es möglich, gefälschte oder entführen Sie einen Inhalt $_SERVER['REMOTE_ADDR'] variable? Ich würde gerne gefälschte Anfrage mit: $_SERVER['REMOTE_ADDR']='127.0.0.1'; Wie könnte ich das machen mit PHP? Kann CURL tun, irgendwie? InformationsquelleAutor der Frage Richard Knop | 2011-02-23

So verhindern Sie die Bildschirmaufnahme in Android

Anzahl der Antworten 8 Antworten
Ist es möglich, zu verhindern, dass die Bildschirm-Aufnahme im Android-Anwendung? Möchte ich die Entwicklung einer Android-Sichere Anwendung. In, das ich brauche, um zu erkennen, screen-recording-software, die im hintergrund Laufenden und töten. Ich habe verwendet SECURE-FLAG für das

Fehler beim Importieren des SSL-Zertifikats: Kein X.509-Zertifikat

Anzahl der Antworten 3 Antworten
Ich bin versucht, zu Aktualisieren das SSL-Zertifikat in übereinstimmung mit dieser Beitrag . Ich bin noob in Zertifikaten, also folgte ich diese Anleitung. Aber, wenn ich geben Sie keytool -keystore mycacerts -storepass changeit -importcert -file "C:\Users\Noks\Desktop\cacerts.pem" -v

Wie ist es möglich, auf andere Prozesse zuzugreifen?

Anzahl der Antworten 5 Antworten
Dachte ich, dass man Prozesse nicht Lesen kann den Speicher eines anderen Prozesses. Aber ich bin schockiert zu sehen, eine Anwendung mit dem Namen "WinHex", die "Ram-Editor" und es ist in der Lage, Zugriff auf kompletten Speicher.

Der beste Weg, um ein Passwort in der Datenbank zu speichern

Anzahl der Antworten 8 Antworten
Arbeite ich an einem Projekt, das zur Authentifizierung (Benutzername/Passwort) Es ist auch eine Verbindung zu einer Datenbank, so dass ich dachte, ich würde zu speichern den Benutzernamen und das Passwort da, aber es scheint nicht so eine

Ist es möglich, Linux-Funktionen pro Benutzer zu konfigurieren?

Anzahl der Antworten 5 Antworten
Gibt es offenbar Unterstützung für fine-grained-Funktionen im Linux-kernel, die es erlaubt die Gewährung von Berechtigungen auf einem Prozess, Dinge zu tun, wie, zum Beispiel, öffnen von raw-sockets oder das heben der thread-Priorität, ohne die der Prozess root-Rechte.

IE 11 Erstanbieter-Sitzungs-Cookies gehen in iframe verloren

Anzahl der Antworten 4 Antworten
Haben wir eine Website (www.example.com) sendet die Benutzer aus einer Reihe von Seiten Dritter, um zu überprüfen, Zahlungsdaten, die wir tun, in einem iframe. Zunächst eine lokale Seite aus www.example.com geladen wird in das iframe, und der

Wurde reCaptcha geknackt / gehackt / OCR'd / besiegt / gebrochen?

Anzahl der Antworten 14 Antworten
Irgendwelche Programmier-Methoden, die verwendet wurden, um die Niederlage reCAPTCHA? Ich bin daran interessiert, dass Beweise und potenziell Demonstrationen, die reCAPTCHA wurde überholt durch die vollständig automatisierte, humanless Methoden. Klären, nicht suchen für reCAPTCHA-cheating-Lösungen, die Einbeziehung der Menschen

Wie richte ich HttpOnly Cookies in PHP ein?

Anzahl der Antworten 9 Antworten
Wie kann ich die cookies in meinem PHP apps als HttpOnly cookies? Kommentar zu dem Problem - Öffnen stackoverflow.com/questions/528405/... Hat die browser-support-info. Kommentarautor: Kzqai @Tchalvak Nein, die aktuellen Antworten sind weiterhin MAßGEBEND. Nichts hat sich geändert, seit

Sicherheit in einer R Shiny-Anwendung

Anzahl der Antworten 5 Antworten
Möchte ich veröffentlichen, R Glänzend web-Anwendung (http://www.rstudio.com/shiny/) auf dem web, aber ich möchte mit einem Passwort schützen, so dass nur Menschen mit Anmeldeinformationen können sehen, was ich veröffentlicht habe. Was ist der beste Weg, dies zu tun

So senden Sie sichere AJAX-Anfragen mit PHP und jQuery

Anzahl der Antworten 3 Antworten
Das problem So für eine Weile jetzt, ich habe experimentiert mit verschiedenen AJAX-Ansätzen in das senden von Daten zu einem server verarbeitet und gespeichert werden innerhalb einer MySQL-Datenbank. Die Seite, die den AJAX-request trifft api.php, verwendet PHP

Apache - Wie man Verzeichnis verweigert, aber eine Datei in diesem Verzeichnis erlaubt

Anzahl der Antworten 3 Antworten
Versuche ich bei der Konfiguration meines Apache .conf-Datei zu leugnen Eintrag aus einer bestimmten Kategorie, aber ich möchte, um einer bestimmten Datei innerhalb dieser Kategorie. Es scheint, dass die Verzeichnis-Regel "stärker" als die Dateien, die Regel, so

Um SSL zu verwenden oder nicht? Warum SSL immer verwenden?

Anzahl der Antworten 6 Antworten
Argument für die Verwendung von SSL, um zu verhindern, dass einige Benutzer mit bösartigen Absichten, hat sich durch die Schmerzen snooping, Ihren traffic in der Lage zu Lesen Ihren traffic. So, während es kann sinnvoll sein, wenn

Wie kann ich meinen c # -Code verschleiern, damit er nicht so leicht entschleiert werden kann?

Anzahl der Antworten 4 Antworten
Ich release eine Reihe von tools kostenlos, aber vor kurzem begann ich habe zu verkaufen eine Anwendung, die private Forschung, und die Menschen wurden in der Lage, mein source-code, und eine person, die öffentlich freigegeben meine gesamte

Wo ist der beste Ort, um Bilder vom Hochladen von Benutzern zu speichern

Anzahl der Antworten 5 Antworten
Ich habe eine website, die zeigt, Galerien. Die Nutzer laden Ihre eigenen Inhalte aus dem web (durch Eingabe einer URL) oder durch das hochladen eines Bildes von Ihrem computer. Ich bin das speichern der URL in der

Wie kann bcrypt eingebaute Salze haben?

Anzahl der Antworten 2 Antworten
Coda Hale Artikel "Wie, um Sicher Zu Speichern Sie ein Passwort" behauptet, dass: bcrypt hat Salze eingebaut, um zu verhindern, rainbow-table-Angriffe. Er zitiert dieses Papier, die sagt, dass in der OpenBSD-Implementierung von bcrypt: OpenBSD erzeugt die 128-bit-bcrypt

Sind JSON-Webdienste anfällig für CSRF-Angriffe?

Anzahl der Antworten 4 Antworten
Baue ich ein web-service verwendet ausschließlich JSON für Ihre Anfrage-und Antwort-Inhalte (d.h., keine form codiert Nutzlasten). Ist ein web-service-anfällig für CSRF-Angriff, wenn die folgenden erfüllt sind? Jede POST Anforderung ohne eine top-level-JSON-Objekt, z.B. {"foo":"bar"}, wird zurückgewiesen, mit

Kennwort in Konfigurationsdateien verschlüsseln?

Anzahl der Antworten 11 Antworten
Ich habe ein Programm, das liest die server-Informationen aus einer Konfigurations-Datei, und würde gerne verschlüsseln Sie das Kennwort in, Konfiguration, Lesen von meinem Programm und entschlüsselt. Requirments: Verschlüsseln von Klartext-Passwort in der Datei gespeichert Entschlüsseln der verschlüsselten

Wie funktioniert dieser riesige Regex?

Anzahl der Antworten 4 Antworten
Vor kurzem fand ich den folgenden code in eines meiner Verzeichnisse in eine Datei namens doc.php. Die Datei-Funktionen oder links, die zu einem Datei-manager. Es ist sehr schön gemacht. Im Grunde, es listet alle Dateien im aktuellen