«security» etiketlenmiş sorular

Uygulama güvenliği ve yazılıma yönelik saldırılarla ilgili konular. Lütfen bu etiketi tek başına kullanmayın, bu belirsizliğe yol açar. Sorunuz belirli bir programlama sorunuyla ilgili değilse, lütfen bunun yerine Information Security SE'de sormayı düşünün: https://security.stackexchange.com

12
Form tabanlı web sitesi kimlik doğrulaması için kesin kılavuz [kapalı]
Kapalı . Bu sorunun daha fazla odaklanması gerekiyor . Şu anda cevapları kabul etmiyor. Bu soruyu geliştirmek ister misiniz? Soruyu yalnızca bu yayını düzenleyerek tek bir soruna odaklanacak şekilde güncelleyin . 3 yıl önce kapalı . Web siteleri için form tabanlı kimlik doğrulama Stack Overflow'un sadece çok spesifik teknik sorular …

7
Google neden (1)? JSON yanıtlarına?
Google neden while(1);(özel) JSON yanıtlarına öncelik veriyor? Örneğin, Google Takvim'de bir takvimi açıp kapatırken yanıt : while (1); [ ['u', [ ['smsSentFlag', 'false'], ['hideInvitations', 'false'], ['remindOnRespondedEventsOnly', 'true'], ['hideInvitations_remindOnRespondedEventsOnly', 'false_true'], ['Calendar ID stripped for privacy', 'false'], ['smsVerifiedFlag', 'true'] ]] ] Bunun insanların bunu yapmasını önlemek olduğunu varsayıyorum eval(), ama gerçekten yapmanız …
4076 javascript  json  ajax  security 


28
PHP'de SQL enjeksiyonunu nasıl önleyebilirim?
Bu sorunun cevapları bir toplum çabasıdır . Bu yayını iyileştirmek için mevcut yanıtları düzenleyin. Şu anda yeni yanıtları veya etkileşimleri kabul etmiyor. Daha fazla bilgi Yığın Taşması : PHP SQL-ин ?екций в PHP? Kullanıcı girişi bir SQL sorgusuna değişiklik yapılmadan eklenirse, uygulama aşağıdaki örnekte olduğu gibi SQL enjeksiyonuna karşı savunmasız …

26
Daha sonra düz metin almak için kullanıcı parola depolamasına etik olarak nasıl yaklaşmalıyım?
Kilitli . Bu soru ve cevapları kilitlidir çünkü soru konu dışıdır, ancak tarihsel önemi vardır. Şu anda yeni yanıtları veya etkileşimleri kabul etmiyor. Giderek daha fazla web sitesi ve web uygulaması oluşturmaya devam ederken, sık sık kullanıcının parolalarını, kullanıcının bir sorunu varsa / unutulduğunda alabilecek şekilde depolamam istenir (unutulmuş bir …

14
PHP şifreleri için güvenli karma ve tuz
Şu anda MD5'in kısmen güvensiz olduğu söyleniyor. Bunu göz önünde bulundurarak, şifre koruması için hangi mekanizmanın kullanılacağını bilmek istiyorum. Bu soru, “çifte hash” bir şifreyi sadece bir kere hash etmekten daha az güvenli midir? oysa birden çok kez karma, iyi bir fikir olabileceğini düşündürmektedir Nasıl bireysel dosyalar için şifre koruması …



18
REST API / web hizmetini güvence altına almak için En İyi Uygulamalar [kapalı]
Kapalı . Bu soru görüş temelli . Şu anda cevapları kabul etmiyor. Bu soruyu geliştirmek ister misiniz? Bu yayını düzenleyerek gerçekler ve alıntılarla yanıtlanabilmesi için soruyu güncelleyin . 2 yıl önce kapalı . Bir REST API veya hizmeti tasarlarken güvenlikle başa çıkmak için belirlenmiş en iyi uygulamalar var mı (Kimlik …

30
Bir APK dosyasının tersine mühendislikten nasıl kaçınılır?
Android için bir ödeme işleme uygulaması geliştiriyorum ve bir bilgisayar korsanının APK dosyasından herhangi bir kaynağa, öğeye veya kaynak koduna erişmesini önlemek istiyorum . Birisi .apk uzantısını .zip olarak değiştirirse, dosyayı açıp uygulamanın tüm kaynaklarına ve varlıklarına kolayca erişebilir ve dex2jar ve bir Java decompiler kullanarak kaynak koduna da erişebilirler. …

7
PDO hazırlanmış ifadeler SQL enjeksiyonunu önlemek için yeterli mi?
Diyelim ki böyle bir kod var: $dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM users where username = :username'); $stmt->execute( array(':username' => $_REQUEST['username']) ); PDO belgeleri şunları söylüyor: Hazırlanan ifadelerin parametrelerinin alıntılanması gerekmez; sürücü sizin için halleder. SQL enjeksiyonlarından kaçınmak için tek yapmam gereken bu mu? Gerçekten bu kadar …

14
OAuth v2'nin Neden Erişim ve Yenileme Jetonları Var?
Taslak OAuth 2.0 protokolünün Bölüm 4.2'si, bir yetkilendirme sunucusunun hem access_tokenyalnızca (bir kaynakla kendini doğrulamak için kullanılır) hem de refresh_tokenyalnızca yeni bir oluşturmak için kullanılan a'yı döndürebileceğini gösterir access_token: https://tools.ietf.org/html/rfc6749#section-4.2 Neden ikisi de var? Neden sadece access_tokensonuncusu refresh_tokenyapmıyorsunuz ve bir refresh_token?

4
Mysql_real_escape_string () etrafında dolaşan SQL enjeksiyonu
mysql_real_escape_string()Fonksiyonu kullanırken bile bir SQL enjeksiyon olasılığı var mı ? Bu örnek durumu ele alalım. SQL PHP'de şu şekilde oluşturulmuştur: $login = mysql_real_escape_string(GetFromPost('login')); $password = mysql_real_escape_string(GetFromPost('password')); $sql = "SELECT * FROM table WHERE login='$login' AND password='$password'"; Çok sayıda insanın bana böyle bir kodun hala tehlikeli ve mysql_real_escape_string()kullanılan işlevle bile kesmek …


4
Bcrypt'in yerleşik tuzları nasıl olabilir?
Coda Hale makale "Güvenle bir Parola Mağaza Nasıl" yönündeki iddiaları: bcrypt, gökkuşağı tablosu saldırılarını önlemek için yerleşik tuzlara sahiptir. OpenBSD'nin uygulanmasında şunları söyleyen bu makaleye atıfta bulunur bcrypt: OpenBSD, çekirdeğin cihaz zamanlamalarından topladığı rasgele verilerle tohumlanmış bir arcfour (arc4random (3)) anahtar akışından 128 bit bcrypt tuzunu üretir. Bunun nasıl çalıştığını …

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.