«security» etiketlenmiş sorular

Kapalı . Bu sorunun daha fazla odaklanması gerekiyor . Şu anda cevapları kabul etmiyor. Bu soruyu geliştirmek ister misiniz? Soruyu yalnızca bu yayını düzenleyerek tek bir soruna odaklanacak şekilde güncelleyin . 3 yıl önce kapalı . Web siteleri için form tabanlı kimlik doğrulama Stack Overflow'un sadece çok spesifik teknik sorular …

5371 security  http  authentication  language-agnostic  article 

Google neden while(1);(özel) JSON yanıtlarına öncelik veriyor? Örneğin, Google Takvim'de bir takvimi açıp kapatırken yanıt : while (1); [ ['u', [ ['smsSentFlag', 'false'], ['hideInvitations', 'false'], ['remindOnRespondedEventsOnly', 'true'], ['hideInvitations_remindOnRespondedEventsOnly', 'false_true'], ['Calendar ID stripped for privacy', 'false'], ['smsVerifiedFlag', 'true'] ]] ] Bunun insanların bunu yapmasını önlemek olduğunu varsayıyorum eval(), ama gerçekten yapmanız …

4076 javascript  json  ajax  security 

Swing'de şifre alanında bir getPassword() (döner char[]yerine her zamanki) yöntemine getText()(döner String) yöntemiyle. Benzer şekilde, Stringşifreleri işlemek için kullanmama önerisine de rastladım . StringParolalar söz konusu olduğunda neden güvenlik için bir tehdit oluşturuyor? Kullanmak zor geliyorchar[] .

3422 java  string  security  passwords  char 

Bu sorunun cevapları bir toplum çabasıdır . Bu yayını iyileştirmek için mevcut yanıtları düzenleyin. Şu anda yeni yanıtları veya etkileşimleri kabul etmiyor. Daha fazla bilgi Yığın Taşması : PHP SQL-ин ?екций в PHP? Kullanıcı girişi bir SQL sorgusuna değişiklik yapılmadan eklenirse, uygulama aşağıdaki örnekte olduğu gibi SQL enjeksiyonuna karşı savunmasız …

2773 php  mysql  sql  security  sql-injection 

Kilitli . Bu soru ve cevapları kilitlidir çünkü soru konu dışıdır, ancak tarihsel önemi vardır. Şu anda yeni yanıtları veya etkileşimleri kabul etmiyor. Giderek daha fazla web sitesi ve web uygulaması oluşturmaya devam ederken, sık sık kullanıcının parolalarını, kullanıcının bir sorunu varsa / unutulduğunda alabilecek şekilde depolamam istenir (unutulmuş bir …

1344 security  password-encryption  password-storage 

Şu anda MD5'in kısmen güvensiz olduğu söyleniyor. Bunu göz önünde bulundurarak, şifre koruması için hangi mekanizmanın kullanılacağını bilmek istiyorum. Bu soru, “çifte hash” bir şifreyi sadece bir kere hash etmekten daha az güvenli midir? oysa birden çok kez karma, iyi bir fikir olabileceğini düşündürmektedir Nasıl bireysel dosyalar için şifre koruması …

1174 php  security  passwords  hash  protection 

Bazı HTML etiketi türlerine izin verirken, SQL enjeksiyonu ve XSS saldırıları için kullanıcı girişini dezenfekte etmek için iyi çalışan bir kaçak işlevi var mı?

1124 php  security  xss  sql-injection  user-input 

Sadece bakıyor: (Kaynak: https://xkcd.com/327/ ) Bu SQL ne yapar: Robert'); DROP TABLE STUDENTS; -- İkisini de biliyorum 've --yorumlar için, ama DROPaynı satırın bir parçası olduğu için kelime de yorum almıyor musunuz?

1093 security  validation  sql-injection 

Kapalı . Bu soru görüş temelli . Şu anda cevapları kabul etmiyor. Bu soruyu geliştirmek ister misiniz? Bu yayını düzenleyerek gerçekler ve alıntılarla yanıtlanabilmesi için soruyu güncelleyin . 2 yıl önce kapalı . Bir REST API veya hizmeti tasarlarken güvenlikle başa çıkmak için belirlenmiş en iyi uygulamalar var mı (Kimlik …

828 wcf  security  rest  authorization  rest-security 

Android için bir ödeme işleme uygulaması geliştiriyorum ve bir bilgisayar korsanının APK dosyasından herhangi bir kaynağa, öğeye veya kaynak koduna erişmesini önlemek istiyorum . Birisi .apk uzantısını .zip olarak değiştirirse, dosyayı açıp uygulamanın tüm kaynaklarına ve varlıklarına kolayca erişebilir ve dex2jar ve bir Java decompiler kullanarak kaynak koduna da erişebilirler. …

764 android  security  proguard  reverse-engineering 

Diyelim ki böyle bir kod var: $dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM users where username = :username'); $stmt->execute( array(':username' => $_REQUEST['username']) ); PDO belgeleri şunları söylüyor: Hazırlanan ifadelerin parametrelerinin alıntılanması gerekmez; sürücü sizin için halleder. SQL enjeksiyonlarından kaçınmak için tek yapmam gereken bu mu? Gerçekten bu kadar …

661 php  security  pdo  sql-injection 

Taslak OAuth 2.0 protokolünün Bölüm 4.2'si, bir yetkilendirme sunucusunun hem access_tokenyalnızca (bir kaynakla kendini doğrulamak için kullanılır) hem de refresh_tokenyalnızca yeni bir oluşturmak için kullanılan a'yı döndürebileceğini gösterir access_token: https://tools.ietf.org/html/rfc6749#section-4.2 Neden ikisi de var? Neden sadece access_tokensonuncusu refresh_tokenyapmıyorsunuz ve bir refresh_token?

654 security  oauth  access-token  refresh-token 

mysql_real_escape_string()Fonksiyonu kullanırken bile bir SQL enjeksiyon olasılığı var mı ? Bu örnek durumu ele alalım. SQL PHP'de şu şekilde oluşturulmuştur: $login = mysql_real_escape_string(GetFromPost('login')); $password = mysql_real_escape_string(GetFromPost('password')); $sql = "SELECT * FROM table WHERE login='$login' AND password='$password'"; Çok sayıda insanın bana böyle bir kodun hala tehlikeli ve mysql_real_escape_string()kullanılan işlevle bile kesmek …

645 php  mysql  sql  security  sql-injection 

Web uygulamaları bağlamındaki fark nedir? "Auth" kısaltmasını çok görüyorum. Anlama gelmektedir yetkilendirme -entication veya kimlik doğrulama -orization? Yoksa ikisi de mi?

626 security  authorization  authentication 

Coda Hale makale "Güvenle bir Parola Mağaza Nasıl" yönündeki iddiaları: bcrypt, gökkuşağı tablosu saldırılarını önlemek için yerleşik tuzlara sahiptir. OpenBSD'nin uygulanmasında şunları söyleyen bu makaleye atıfta bulunur bcrypt: OpenBSD, çekirdeğin cihaz zamanlamalarından topladığı rasgele verilerle tohumlanmış bir arcfour (arc4random (3)) anahtar akışından 128 bit bcrypt tuzunu üretir. Bunun nasıl çalıştığını …

617 security  hash  internals  bcrypt