Темы, касающиеся безопасности приложений и атак на программное обеспечение. Пожалуйста, не используйте этот тег в одиночку, что приводит к неоднозначности. Если ваш вопрос не о конкретной проблеме программирования, попробуйте вместо этого задать ее на информационной безопасности SE: https://security.stackexchange.com
Я создал веб-сайт php, вы можете ввести свою регистрационную информацию, и он сохраняет файл cookie аутентификации в вашем браузере. После этого создается переменная SESSION с именем «пользователь», и вы можете перейти к страницам, специфичным для пользователя. Мой вопрос: когда пользователь перек....
4 Фев 2022 в 17:11
Ниже я извлек фрагмент кода из проекта, над которым я запустил инструмент статического анализа в поисках недостатков безопасности. Он пометил этот код как восприимчивый к целочисленному переполнению/зацикливанию, как описано здесь:
https://cwe.mitre.org/data/definitions/190.html
Вот соответствующий....
Привет, я изо всех сил пытаюсь выяснить, как установить предел хранилища, который каждый пользователь может загружать в хранилище моих приложений.
Я нашел метод Storage.storageLimitInBytes в Интернете, но я не вижу, чтобы этот метод упоминался даже в документации Firebase, не говоря уже о инструкция....
3 Фев 2022 в 13:23
Я бы хотел знать:
1 - Как создать два разных промежуточных ПО (для ADMIN и STAFF) из переменных SESSION, чтобы использовать их позже, чтобы запретить пользователям, которые не являются ни АДМИНИСТРАТОРАМИ, ни СОТРУДНИКАМИ доступ к страницам, которых я не знаю не хотят, чтобы у них был доступ ???
Во....
2 Фев 2022 в 22:47
Каждый!
Это будет мой первый раз, когда я запускаю недавно разработанное приложение Spring Boot, и мне было интересно, есть ли способ защитить пароли и другую конфиденциальную информацию, записанную в файле application.properties.
Предположим, что у нас есть следующие строки:
# PostgreSQL connection....
1 Фев 2022 в 07:44
2
Правильный способ безопасного хранения ключа доступа к хранилищу BLOB-объектов Azure в приложении C#
Я создаю приложение С# (WPF), которое загружает файлы журналов в хранилище больших двоичных объектов Azure. Я храню StorageConnectionString внутри файла App.config следующим образом:
<appSettings>
<add key="StorageConnectionString" value="DefaultEndpointsProtocol=https;AccountName=<my account n....
28 Янв 2022 в 12:59
Предположим, у меня есть скрипт .php на моем сервере, который взаимодействует с сервером MySQL. Часть этого:
function sqlQuery($queryString) {
...
$mysqli = new mysqli("theHost:some-port",
"DB_allowed_username",
"password123", "dbName");
....
Мне было интересно, как я могу создать образцы объектов при запуске, чтобы протестировать мой интерфейс в приложении Spring Boot. Сейчас я пытаюсь использовать CommandLineRunner, но получаю эту ошибку:
java.lang.IllegalStateException: Failed to execute CommandLineRunner
at org.springframewo....
Моя оболочка говорит мне следующее:
❯ compaudit
There are insecure files:
/usr/local/share/zsh/site-functions/_brew
Я пытался исправить это с помощью $ sudo chmod -R 755 /usr/local/share/zsh/site-functions/_brew и $ sudo chown -R root:staff /usr/local/share/zsh/site-functions/_brew, но это не помог....
У меня есть приложение MERN, где я использую паспорт для создания/аутентификации пользователя и сохраняю состояние аутентификации, сохраняя хешированный токен JWT в файле cookie HttpOnly Secure. Единственная проблема заключается в том, что если я зарегистрирую Пользователя А в Chrome и скопирую фай....
24 Янв 2022 в 10:08
Я создаю веб-сайт, в который я включил HTML-виджет погоды третьей части, виджет выглядит из надежного источника и ему доверяют через Интернет. Этот виджет представляет собой ссылку и небольшие теги javascript, которые затем отображаются после загрузки.
Я хотел знать, насколько безопасными будут дан....
23 Янв 2022 в 20:10
Защищенные сокеты используют проверку CN для сертификатов в коллекции доверия, при этом домен принимает или подключается. Для себя я создал приватный и общедоступный набор для локального хоста, и это помогает мне отлаживать локально. Если бы я хотел предложить SDK, было бы безопасно распространять....
Я работаю над игрой и думал о том, как сделать ее модифицируемой. Обычно движки используют язык сценариев по разным причинам. Один из них заключается в том, что движок получает контроль над тем, что видит мод, и может обеспечить некоторую степень безопасности для пользователя, например. не разреш....
Консультант по безопасности поднял вопрос о безопасности в отношении веб-сайта одного из моих клиентов:
Используя Burp Suite Community Edition, запустите запрос POST со следующей строкой параметров:
search=Search&city=Johannesburg&city=Madrid
PHP заполняет массив POST следующим образом:
Array
(
....
21 Янв 2022 в 14:52
PHP имеет ini-настройку «max_file_uploads», которая предотвращает одновременную загрузку большего количества файлов, чем заданное число. По умолчанию 20, можно изменить на что угодно (я думаю).
Что именно это предотвращает, учитывая, что существуют также «post_max_size» и «upload_max_filesize»? Я ....
21 Янв 2022 в 12:49
Текущая ситуация
В моей компании множество различных сред, в которых не всегда легко развернуть интерфейсный код для тестирования рабочих/живых данных. Мы используем расширение для замены определенных сценариев, отправляемых с сервера, на доступные локально. В основном это работает, но имеет нек....
20 Янв 2022 в 20:41
Как заголовок, из-за того, что urlpatterns устанавливают числовой параметр, я склонен думать, что HttpResponseRedirect не пострадает от атаки xss, я прав?
Если нет, то как от этого страдает HttpResponseRedirect?
urls.py
from django.urls import path
from hello import views
app_name = 'hello'
urlpa....
1
Я получил сканирование портов (заблокировано касперским антивирусом на моем компьютере с Windows 10)
Мне пришло уведомление от антивируса касперского на моей windows 10 (которая всегда включена) Судя по всему, было сканирование портов и он был заблокирован.
User: NT AUTHORITY\SYSTEM
User type: System user
Component: Network Attack Blocker
Result description: Blocked
Name: Scan.Generic.PortScan.TCP
....
20 Янв 2022 в 09:39
У меня есть простая проблема, и я ищу, какой элемент управления я могу написать на стороне сервера, чтобы избежать этого случая:
Через форму пользователь может отправить ответы на опрос. Поэтому при отправке ответов на сервер он передает список ответов, а также идентификатор опроса. Но ничто не ме....
Я занят программированием личного браузера на python для повседневного использования и, возможно, для замены других браузеров на моей установке, например, firefox и chrome. Я только что установил базовую структуру и открыл Google для тестирования, когда первый сайт, который я открыл, завалил меня р....
В моем приложении я активно использую пользовательские данные, хранящиеся в токене, почти в каждой конечной точке. Теперь я хочу добавить некоторые данные ПОСЛЕ того, как пользователь войдет в систему (это очень важно). Мне было интересно, является ли замена старого токена новым плохой практикой?
....
Мой проект имеет транзитивную зависимость от log4j v1.2.16 через org.mobicents.servlet.sip< /a> используется в моем проекте как прямая зависимость.
Но org.mobicents.servlet.sip больше активно не разрабатывается.
Существуют ли какие-либо варианты устранения этой уязвимости, кроме ожидания org.mobice....
18 Янв 2022 в 19:22
Я реализую диспетчер доступа для своего приложения, но еще не смог найти элегантное решение для передачи данных из AWS Lambda клиенту.
Пользователь попытается получить доступ к https://myapplication.com/, который указывает на IP-адрес диспетчера доступа. . Диспетчер доступа проверит, существует ли....
18 Янв 2022 в 13:55
Мое понимание
Из разных источников я пришел к выводу, что в Python 3 (3.6+ для f-строк) существует четыре основных метода форматирования/интерполяции строк:
Форматирование с помощью %, похожее на printf в C. Метод str.format() Форматированные строковые литералы/f-строки Строки шаблонов из модуля ста....
18 Янв 2022 в 09:38
Я пытаюсь обойти то, что я считаю проблемой безопасности. Если я работаю над проектом, который я называю «примером», я могу создать из него образ докера, используя docker build -t example ., а затем запустить его, используя docker run example. Это будет работать правильно, но если я забуду сначала....
16 Янв 2022 в 21:37
En Español