«security» etiketlenmiş sorular

Uygulama güvenliği ve yazılıma yönelik saldırılarla ilgili konular. Lütfen bu etiketi tek başına kullanmayın, bu belirsizliğe yol açar. Sorunuz belirli bir programlama sorunuyla ilgili değilse, lütfen bunun yerine Information Security SE'de sormayı düşünün: https://security.stackexchange.com

1
OAuth belirteçleri oluşturmaya ilişkin en iyi uygulamalar?
Farkındayım OAuth Spec ConsumerKey, ConsumerSecret, AccessToken, RequestToken, TokenSecret veya Doğrulayıcı kodu kökeni hakkında bir şey belirtmez, fakat (özellikle Token önemli ölçüde güvenli belirteçleri oluşturmak için en iyi uygulama varsa merak ediyorum / Gizli kombinasyonlar). Gördüğüm kadarıyla, token oluşturmak için birkaç yaklaşım var: Sadece rastgele baytlar kullanın, tüketici / kullanıcı ile …
11
X-Frame-Options Allow-Birden çok etki alanından
X-Frame-Options başlığını kullanarak güvenli hale getirilmesi gereken bir ASP.NET 4.0 IIS7.5 sitem var. Ayrıca site sayfalarımın aynı alanımdan ve facebook uygulamamdan iç çerçeveye alınmasını sağlamam gerekiyor. Şu anda sitem şu başlığı taşıyan bir site ile yapılandırılmış durumda: Response.Headers.Add("X-Frame-Options", "ALLOW-FROM SAMEDOMAIN, www.facebook.com/MyFBSite") Facebook sayfamı Chrome veya Firefox ile görüntülediğimde site sayfalarım …
3
PHP kullanarak siteler arası istek sahteciliği (CSRF) belirteci nasıl düzgün şekilde eklenir?
Web sitemdeki formlara biraz güvenlik katmaya çalışıyorum. Formlardan biri AJAX kullanıyor, diğeri ise basit bir "bize ulaşın" formu. CSRF jetonu eklemeye çalışıyorum. Karşılaştığım sorun, jetonun yalnızca bazen HTML "değerinde" görünmesi. Geri kalan zamanlarda değer boştur. AJAX formunda kullandığım kod: PHP: if (!isset($_SESSION)) { session_start(); $_SESSION['formStarted'] = true; } if (!isset($_SESSION['token'])) …
100 php  security  session  csrf 
10
Bir esrar için tuzu saklamanın gerekliliği
İş yerinde tuzlar için birbiriyle yarışan iki teorimiz var. Üzerinde çalıştığım ürünler, hash'ı tuzağa düşürmek için kullanıcı adı veya telefon numarası gibi bir şey kullanıyor. Esasen her kullanıcı için farklı olan, ancak bizim için hazır olan bir şey. Diğer ürün rastgele olarak her kullanıcı için bir tuz oluşturur ve kullanıcı …
4
'Sudo pip' çalıştırmanın riskleri nelerdir?
Bazen ben girmek yorumlar veya yanıtlar devlet basa basa çalışan o pipaltından da sudo"yanlış" ya da "kötü" olduğunu, ancak o da çok basit ya bile gerekir (ı kurmak araçları bir grup var arada da dahil) durumlar vardır bu şekilde çalıştırın. Çalışan ile ilgili riskler nelerdir pipaltında sudo? Not bu kadar …
99 python  security  pip  sudo 
17
Kimlik doğrulama ve yetkilendirme arasında bir fark var mı?
Bu iki terimin oldukça karışık olduğunu görüyorum (özellikle web tabanlı senaryolarda ama sanırım bununla sınırlı değil) ve bir fark olup olmadığını merak ediyordum. Bana öyle geliyor ki, her ikisi de yaptığınız şeyi yapmanıza izin verildiği anlamına geliyor. Öyleyse bu sadece bir isimlendirme meselesi mi yoksa anlamda temel bir fark mı …
97 security 
2
Hangi $ _SERVER değişkenleri güvenlidir?
Bir kullanıcının kontrol edebileceği herhangi bir değişkeni, bir saldırgan da kontrol edebilir ve bu nedenle bir saldırı kaynağıdır. Buna "bozuk" değişken denir ve güvensizdir. Kullanılırken $_SERVER, değişkenlerin çoğu kontrol edilebilir. PHP_SELF, HTTP_USER_AGENT, HTTP_X_FORWARDED_FOR, HTTP_ACCEPT_LANGUAGEÇok ve diğerleri istemci tarafından gönderilen HTTP istek başlığının bir parçasıdır. "Güvenli bir liste" veya $_SERVERdeğişkenlerin temizlenmemiş …
97 php  security 
5
unutulan şifre için rastgele belirteç oluşturmak için en iyi uygulama
Unutulan şifre için tanımlayıcı oluşturmak istiyorum. Mt_rand () ile timestamp kullanarak yapabileceğimi okudum, ancak bazı insanlar zaman damgasının her seferinde benzersiz olmayabileceğini söylüyor. Bu yüzden burada biraz kafam karıştı. Bununla zaman damgası kullanarak yapabilir miyim? Soru Özel uzunlukta rastgele / benzersiz tokenlar oluşturmak için en iyi uygulama nedir? Buralarda sorulan …
3
OAuth 2.0'da istemci sırrı
Google drive api'yi kullanmak için, OAuth2.0 kullanarak kimlik doğrulama ile oynamalıyım. Ve bununla ilgili birkaç sorum var. İstemci kimliği ve istemci sırrı, uygulamamın ne olduğunu belirlemek için kullanılıyor. Ancak bir istemci uygulamasıysa kodlanmış olmaları gerekir. Böylece herkes uygulamamı derleyip kaynak kodundan çıkarabilir. Kötü bir uygulamanın, iyi uygulamanın istemci kimliğini ve …
2
SSL Hatası: yerel yayıncı sertifikası alınamıyor
Debian 6.0 32bit sunucusunda SSL yapılandırırken sorun yaşıyorum. SSL konusunda nispeten yeniyim, bu yüzden lütfen benimle kalın. Elimden geldiğince çok bilgi ekliyorum. Not: Sunucunun kimliğini ve bütünlüğünü korumak için gerçek alan adı değiştirilmiştir. Yapılandırma Sunucu nginx kullanarak çalışıyor. Aşağıdaki şekilde yapılandırılmıştır: ssl_certificate /usr/local/nginx/priv/mysite.ca.chained.crt; ssl_certificate_key /usr/local/nginx/priv/mysite.ca.key; ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2; …
8
Python'da bir kullanıcı adı ve parolayı güvenli bir şekilde saklamam gerekiyor, seçeneklerim nelerdir? [kapalı]
Kapalı . Bu soru fikir temelli . Şu anda cevapları kabul etmiyor. Bu soruyu geliştirmek mi istiyorsunuz? Bu gönderiyi düzenleyerek gerçekler ve alıntılarla cevaplanabilmesi için soruyu güncelleyin . 4 gün önce kapalı . Bu soruyu geliştirin Bir kullanıcı adı ve şifre kombinasyonu kullanarak üçüncü taraf bir hizmetten periyodik olarak bilgi …
2
JPEG of Death güvenlik açığı nasıl çalışır?
Windows XP ve Windows Server 2003'te GDI + 'ya karşı üzerinde çalıştığım bir proje için ölüm JPEG olarak adlandırılan daha eski bir istismar hakkında okuyorum . İstismar aşağıdaki bağlantıda iyi açıklanmıştır: http://www.infosecwriters.com/text_resources/pdf/JPEG.pdf Temel olarak, bir JPEG dosyası, (muhtemelen boş) bir açıklama alanı ve COM boyutunu içeren iki baytlık bir değer …
94 c++  security  memcpy  malware 
11
Laravel karma şifresi nasıl oluşturulur
Laravel için karma bir şifre oluşturmaya çalışıyorum. Şimdi birisi Laravel hash helper'ı kullanmamı söyledi ama bulamıyorum ya da yanlış yöne bakıyorum. Nasıl laravel karma şifre oluşturabilirim? Ve nerede? Düzenleme: Kodun ne olduğunu biliyorum ama nerede ve nasıl kullanacağımı bilmiyorum, bu yüzden bana karma şifreyi geri veriyor. Hashing uygulanmış parolayı alırsam, …
11
SecurityException oluşturmadan çalışma zamanında izin nasıl kontrol edilebilir?
SD'den bir kaynak alabilen / ayarlayabilen ve sd'den bulunamayan bir işlev tasarlıyorum, ardından onu Varlıktan alıp mümkünse varlığı SD'ye geri yazıyorum Bu işlev, SD'nin takılı ve erişilebilir olup olmadığını yöntem çağırma yoluyla kontrol edebilir ... boolean bSDisAvalaible = Environment.getExternalStorageState().equals(Environment.MEDIA_MOUNTED); Tasarladığım işlev bir uygulamadan (projeden) diğerine (android.permission.WRITE_EXTERNAL_STORAGE ile veya olmadan) kullanılabilir …
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.