Темы, касающиеся безопасности приложений и атак на программное обеспечение. Пожалуйста, не используйте этот тег в одиночку, что приводит к неоднозначности. Если ваш вопрос не о конкретной проблеме программирования, попробуйте вместо этого задать ее на информационной безопасности SE: https://security.stackexchange.com

Подробнее про security...

Я создал веб-сайт php, вы можете ввести свою регистрационную информацию, и он сохраняет файл cookie аутентификации в вашем браузере. После этого создается переменная SESSION с именем «пользователь», и вы можете перейти к страницам, специфичным для пользователя. Мой вопрос: когда пользователь перек....
4 Фев 2022 в 17:11
Ниже я извлек фрагмент кода из проекта, над которым я запустил инструмент статического анализа в поисках недостатков безопасности. Он пометил этот код как восприимчивый к целочисленному переполнению/зацикливанию, как описано здесь: https://cwe.mitre.org/data/definitions/190.html Вот соответствующий....
3 Фев 2022 в 20:34
Привет, я изо всех сил пытаюсь выяснить, как установить предел хранилища, который каждый пользователь может загружать в хранилище моих приложений. Я нашел метод Storage.storageLimitInBytes в Интернете, но я не вижу, чтобы этот метод упоминался даже в документации Firebase, не говоря уже о инструкция....
Я бы хотел знать: 1 - Как создать два разных промежуточных ПО (для ADMIN и STAFF) из переменных SESSION, чтобы использовать их позже, чтобы запретить пользователям, которые не являются ни АДМИНИСТРАТОРАМИ, ни СОТРУДНИКАМИ доступ к страницам, которых я не знаю не хотят, чтобы у них был доступ ??? Во....
2 Фев 2022 в 22:47
Каждый! Это будет мой первый раз, когда я запускаю недавно разработанное приложение Spring Boot, и мне было интересно, есть ли способ защитить пароли и другую конфиденциальную информацию, записанную в файле application.properties. Предположим, что у нас есть следующие строки: # PostgreSQL connection....
1 Фев 2022 в 07:44
Я создаю приложение С# (WPF), которое загружает файлы журналов в хранилище больших двоичных объектов Azure. Я храню StorageConnectionString внутри файла App.config следующим образом: <appSettings> <add key="StorageConnectionString" value="DefaultEndpointsProtocol=https;AccountName=<my account n....
28 Янв 2022 в 12:59
Предположим, у меня есть скрипт .php на моем сервере, который взаимодействует с сервером MySQL. Часть этого: function sqlQuery($queryString) { ... $mysqli = new mysqli("theHost:some-port", "DB_allowed_username", "password123", "dbName"); ....
25 Янв 2022 в 21:28
Мне было интересно, как я могу создать образцы объектов при запуске, чтобы протестировать мой интерфейс в приложении Spring Boot. Сейчас я пытаюсь использовать CommandLineRunner, но получаю эту ошибку: java.lang.IllegalStateException: Failed to execute CommandLineRunner at org.springframewo....
24 Янв 2022 в 18:52
Моя оболочка говорит мне следующее: ❯ compaudit There are insecure files: /usr/local/share/zsh/site-functions/_brew Я пытался исправить это с помощью $ sudo chmod -R 755 /usr/local/share/zsh/site-functions/_brew и $ sudo chown -R root:staff /usr/local/share/zsh/site-functions/_brew, но это не помог....
24 Янв 2022 в 15:29
У меня есть приложение MERN, где я использую паспорт для создания/аутентификации пользователя и сохраняю состояние аутентификации, сохраняя хешированный токен JWT в файле cookie HttpOnly Secure. Единственная проблема заключается в том, что если я зарегистрирую Пользователя А в Chrome и скопирую фай....
Я создаю веб-сайт, в который я включил HTML-виджет погоды третьей части, виджет выглядит из надежного источника и ему доверяют через Интернет. Этот виджет представляет собой ссылку и небольшие теги javascript, которые затем отображаются после загрузки. Я хотел знать, насколько безопасными будут дан....
23 Янв 2022 в 20:10
Защищенные сокеты используют проверку CN для сертификатов в коллекции доверия, при этом домен принимает или подключается. Для себя я создал приватный и общедоступный набор для локального хоста, и это помогает мне отлаживать локально. Если бы я хотел предложить SDK, было бы безопасно распространять....
23 Янв 2022 в 01:18
Я работаю над игрой и думал о том, как сделать ее модифицируемой. Обычно движки используют язык сценариев по разным причинам. Один из них заключается в том, что движок получает контроль над тем, что видит мод, и может обеспечить некоторую степень безопасности для пользователя, например. не разреш....
21 Янв 2022 в 16:16
Консультант по безопасности поднял вопрос о безопасности в отношении веб-сайта одного из моих клиентов: Используя Burp Suite Community Edition, запустите запрос POST со следующей строкой параметров: search=Search&city=Johannesburg&city=Madrid PHP заполняет массив POST следующим образом: Array ( ....
21 Янв 2022 в 14:52
PHP имеет ini-настройку «max_file_uploads», которая предотвращает одновременную загрузку большего количества файлов, чем заданное число. По умолчанию 20, можно изменить на что угодно (я думаю). Что именно это предотвращает, учитывая, что существуют также «post_max_size» и «upload_max_filesize»? Я ....
21 Янв 2022 в 12:49
Текущая ситуация В моей компании множество различных сред, в которых не всегда легко развернуть интерфейсный код для тестирования рабочих/живых данных. Мы используем расширение для замены определенных сценариев, отправляемых с сервера, на доступные локально. В основном это работает, но имеет нек....
20 Янв 2022 в 20:41
Как заголовок, из-за того, что urlpatterns устанавливают числовой параметр, я склонен думать, что HttpResponseRedirect не пострадает от атаки xss, я прав? Если нет, то как от этого страдает HttpResponseRedirect? urls.py from django.urls import path from hello import views app_name = 'hello' urlpa....
20 Янв 2022 в 14:19
Мне пришло уведомление от антивируса касперского на моей windows 10 (которая всегда включена) Судя по всему, было сканирование портов и он был заблокирован. User: NT AUTHORITY\SYSTEM User type: System user Component: Network Attack Blocker Result description: Blocked Name: Scan.Generic.PortScan.TCP ....
20 Янв 2022 в 09:39
У меня есть простая проблема, и я ищу, какой элемент управления я могу написать на стороне сервера, чтобы избежать этого случая: Через форму пользователь может отправить ответы на опрос. Поэтому при отправке ответов на сервер он передает список ответов, а также идентификатор опроса. Но ничто не ме....
19 Янв 2022 в 17:41
Я занят программированием личного браузера на python для повседневного использования и, возможно, для замены других браузеров на моей установке, например, firefox и chrome. Я только что установил базовую структуру и открыл Google для тестирования, когда первый сайт, который я открыл, завалил меня р....
19 Янв 2022 в 16:57
В моем приложении я активно использую пользовательские данные, хранящиеся в токене, почти в каждой конечной точке. Теперь я хочу добавить некоторые данные ПОСЛЕ того, как пользователь войдет в систему (это очень важно). Мне было интересно, является ли замена старого токена новым плохой практикой? ....
19 Янв 2022 в 16:50
Мой проект имеет транзитивную зависимость от log4j v1.2.16 через org.mobicents.servlet.sip< /a> используется в моем проекте как прямая зависимость. Но org.mobicents.servlet.sip больше активно не разрабатывается. Существуют ли какие-либо варианты устранения этой уязвимости, кроме ожидания org.mobice....
Я реализую диспетчер доступа для своего приложения, но еще не смог найти элегантное решение для передачи данных из AWS Lambda клиенту. Пользователь попытается получить доступ к https://myapplication.com/, который указывает на IP-адрес диспетчера доступа. . Диспетчер доступа проверит, существует ли....
Мое понимание Из разных источников я пришел к выводу, что в Python 3 (3.6+ для f-строк) существует четыре основных метода форматирования/интерполяции строк: Форматирование с помощью %, похожее на printf в C. Метод str.format() Форматированные строковые литералы/f-строки Строки шаблонов из модуля ста....
Я пытаюсь обойти то, что я считаю проблемой безопасности. Если я работаю над проектом, который я называю «примером», я могу создать из него образ докера, используя docker build -t example ., а затем запустить его, используя docker run example. Это будет работать правильно, но если я забуду сначала....
16 Янв 2022 в 21:37