security相关内容

Integrated Security = True 和 Integrated Security = SSPI 有什么区别?

我有两个使用集成安全性的应用.一个在连接字符串中分配Integrated Security = true,另一个设置Integrated Security = SSPI. SSPI 和 true 在集成安全上下文中有什么区别? 解决方案 根据 Microsoft 它们是一回事. 当false 时,在连接中指定了用户 ID 和密码.如果为 true,则使用当前的 Windows ..
发布时间:2021-12-02 14:25:50 数据库

.NET 混淆工具/策略

我的产品有几个组件:ASP.NET、Windows 窗体应用程序和 Windows 服务.95%左右的代码是用VB.NET编写的. 出于知识产权的原因,我需要对代码进行混淆,直到现在我一直在使用 dotfuscator 的一个版本,这个版本现在已经超过 5 年了.我认为是时候转向新一代工具了.我正在寻找的是在搜索新的混淆器时应该考虑的要求列表. 我知道我应该寻找的东西: 序列化/ ..
发布时间:2021-12-02 13:41:20 C#/.NET

SQLParameter 如何防止 SQL 注入?

究竟是什么背景使之如此SQLParameter 可以防止 .NET 参数化查询中的 SQL Inection 攻击吗?它只是去除了任何可疑字符还是还有更多内容? 有没有人检查过当您传递恶意输入时实际到达 SQL Server 的内容? 相关:你能用吗SQL FROM 语句中的 SQLParameter? 解决方案 基本上,当您使用 SQLParameters 执行 SQLCom ..
发布时间:2021-12-02 13:36:26 C#/.NET

.NET 4.5 中的默认安全协议

与最高支持 TLS 1.2 的服务器通信的默认安全协议是什么?.NET 会默认选择服务器端支持的最高安全协议还是我必须明确添加这行代码: System.Net.ServicePointManager.SecurityProtocol =SecurityProtocolType.Tls |安全协议类型.Tls11 |SecurityProtocolType.Tls12; 除了更改代码之外,还有其 ..
发布时间:2021-12-02 13:22:11 C#/.NET

JSON 劫持在现代浏览器中仍然是一个问题吗?

我正在使用 Backbone.js 和 Tornado Web 服务器.在 Backbone 中接收集合数据的标准行为是作为 JSON 数组发送. 另一方面,由于以下漏洞,Tornado 的标准行为是不允许 JSON 数组: http://haacked.com/archive/2008/11/20/anatomy-of-a-subtle-json-vulnerability.aspx ..
发布时间:2021-12-02 11:49:50 前端开发

为什么谷歌在前面加上 while(1);到他们的 JSON 响应?

为什么 Google 将 while(1); 添加到他们的(私有)JSON 响应中? 例如,以下是在 Google 日历中打开和关闭日历时的响应: while (1);[['你',[['smsSentFlag', 'false'],['隐藏邀请','假'],['remindOnRespondedEventsOnly', 'true'],['hideInvitations_remindOnR ..
发布时间:2021-12-02 11:07:33 前端开发

这个新的 ASP.NET 安全漏洞有多严重,我该如何解决?

我刚刚在网上阅读了有关 ASP.NET 中新发现的安全漏洞的信息.您可以在此处阅读详细信息. 问题在于ASP.NET 实现 AES 加密保护完整性的算法这些应用程序的 cookie生成期间存储信息用户会话. 这有点含糊,但这里有一个更可怕的部分: 攻击的第一阶段需要几千个请求,但一旦它成功,攻击者获得秘密钥匙,它是完全隐蔽的.所需的密码知识是非常基础. 总而言之,我对安全/ ..
发布时间:2021-12-02 09:04:27 C#/.NET

App_Data 文件夹在 Visual Studio 中的用途是什么?

在 Visual Studio 中创建新的 ASP.NET 应用程序时,会自动创建几个文件和文件夹.其中一个文件夹名为 App_Data. 此外,通过选择菜单选项 Build->Publish 发布网站时,可以使用一个复选框包括 App_Data 文件夹中的文件. 我是否正确假设放入此文件及其子文件夹中的文件将无法通过网络访问?例如,将我仅打算由应用程序代码使用的资源放入该文件夹中是否 ..
发布时间:2021-12-02 08:56:02 C#/.NET

IIS/ASP.NET 的所有用户帐户是什么?它们有何不同?

在安装了 ASP.NET 4.0 的 Windows Server 2008 下,有一大堆相关的用户帐户,我无法理解哪个是哪个,它们有什么不同,哪个是我的应用程序运行的真正在下面.这是一个列表: IIS_IUSRS IUSR 默认应用程序池 ASP.NET v4.0 NETWORK_SERVICE 本地服务. 什么是什么? 解决方案 这是一个很好的问题,遗憾的是,在作 ..
发布时间:2021-12-02 08:54:23 C#/.NET

某些黑客可以从用户那里窃取 Web 浏览器 cookie 并使用该名称登录网站吗?

阅读这个问题,不同的用户获得相同的 cookie - .ASPXANONYMOUS 中的值 并寻找解决方案,我开始思考,是否有人可以通过某种方式真正窃取 cookie,然后将其放在他的浏览器上并以管理员身份登录. 您知道表单验证如何确保即使cookie被盗,黑客也无法在实际登录中使用它吗? 是否有其他替代的自动防御机制? 解决方案 是否有可能窃取 cookie 并以管 ..
发布时间:2021-12-02 08:44:25 C#/.NET

为什么 strlcpy 和 strlcat 被认为是不安全的?

我了解 strlcpy 和 strlcat 被设计为 strncpy 和 strncat 的安全替代品.但是,有些人仍然认为他们不安全,只会导致不同类型的问题. 有人可以举例说明如何使用 strlcpy 或 strlcat(即 always null 终止其字符串的函数)可以导致安全性问题? Ulrich Drepper 和 James Antill 表示这是真的,但从未提供示例或阐明 ..
发布时间:2021-12-02 00:07:49 其他开发

您使用 TR 24731 的“安全"功能吗?

ISO C 委员会 (ISO/IEC JTC1/SC21/WG14) 已发布 TR 24731-1 并且是致力于TR 24731-2:> TR 24731-1:C 库的扩展第 I 部分:边界检查接口 WG14 正在研究更安全的 C 库函数的 TR.此 TR 面向修改现有程序,通常通过添加带有缓冲区长度的额外参数.最新草案在文件 N1225 中.理由在文件 N1173 中.这将成为技术报告类 ..
发布时间:2021-12-01 23:52:25 其他开发

使用端口 80 运行 Node.js 的最佳实践(Ubuntu/Linode)

我正在云Linux节点上设置我的第一个Node.js服务器,我对Linux admin的细节还很陌生.(顺便说一句,我不会同时尝试使用 Apache.) 一切都安装正确,但我发现除非我使用 root login,否则我无法使用 node.js 在 port 80 上侦听.但是,出于安全原因,我宁愿不以 root 身份运行它. 最佳做法是: 为节点设置良好的权限/用户以使其安全/沙 ..
发布时间:2021-12-01 21:48:14 服务器开发

通过addslashes() 进行SQL 注入的示例?

在 PHP 中,我知道 mysql_real_escape 比使用 addslashes 安全得多.但是,我找不到 addslashes 会让 SQL 注入发生的例子. 谁能举出一些例子? 解决方案 好吧,这是您想要的文章. 基本上,攻击的工作方式是让 addslashes() 在多字节字符的中间放置一个反斜杠,这样反斜杠就失去了作为有效多字节序列的一部分的意义. 文章中 ..
发布时间:2021-12-01 20:11:07 PHP

准备好的语句如何防止 SQL 注入攻击?

预制语句如何帮助我们防止SQL 注入 攻击? 维基百科说: 准备好的语句可以抵御 SQL 注入,因为参数值,稍后使用不同的协议,不需要正确转义.如果原来的说法模板不是从外部输入派生的,SQL 注入不能发生. 我不太清楚原因.用简单的英语和一些例子做一个简单的解释是什么? 解决方案 想法很简单——查询和数据分别发送到数据库服务器. 仅此而已. SQL 注入问题的根源 ..
发布时间:2021-12-01 19:20:08 其他开发

内容安全策略 (CSP) 如何工作?

我在开发者控制台中收到一堆错误: 拒绝评估字符串 拒绝执行内联脚本,因为它违反了以下内容安全策略指令 拒绝加载脚本 拒绝加载样式表 这是怎么回事?内容安全策略 (CSP) 如何工作?如何使用 Content-Security-Policy HTTP 标头? 具体来说,如何... ...允许多个来源? ...使用不同的指令? ...使用多个指令? .. ..
发布时间:2021-12-01 13:26:53 前端开发

GET 或 POST 是否比另一个更安全?

在比较 HTTP GET 和 HTTP POST 时,从安全角度来看有什么区别?其中一个选择本质上比另一个更安全吗?如果是,为什么? 我意识到 POST 不会公开 URL 上的信息,但这是否有任何真正的价值,或者它只是通过默默无闻的安全性?出于安全考虑,我是否有理由更喜欢 POST? 编辑: 通过 HTTPS,POST 数据被编码,但 URL 可以被第 3 方嗅探吗?此外,我正在处理 ..
发布时间:2021-12-01 13:15:22 前端开发

双向加密:我需要存储可以找回的密码

我正在创建一个应用程序来存储密码,用户可以检索和查看密码.密码用于硬件设备,因此检查哈希值是不可能的. 我需要知道的是: 如何在 PHP 中加密和解密密码? 加密密码最安全的算法是什么? 我在哪里存储私钥? 不是存储私钥,而是要求用户在需要解密密码时输入私钥是一个好主意吗?(此应用程序的用户可以信任) 密码可以通过哪些方式被窃取和解密?我需要注意什么? 解 ..
发布时间:2021-12-01 11:13:48 PHP

“让我保持登录"- 最好的方法

我的网络应用程序使用会话来存储用户登录后的信息,并在他们在应用程序内从页面移动到页面时维护这些信息.在这个特定的应用程序中,我存储了此人的 user_id、first_name 和 last_name. 我想在登录时提供一个“让我保持登录"选项,它将在用户的机器上放置一个 cookie 两周,当他们返回应用程序时,这将使用相同的详细信息重新启动他们的会话. 这样做的最佳方法是什么?我不 ..
发布时间:2021-12-01 11:09:54 PHP

可利用的 PHP 函数

我正在尝试构建可用于任意代码执行的函数列表.目的不是列出应列入黑名单或以其他方式禁止的功能.相反,我想要一个 grep-able 的 red-flag 关键字列表,以便在搜索受感染的服务器寻找后门时很方便. 这个想法是,如果你想构建一个多用途的恶意 PHP 脚本——比如像 c99 或 r57 这样的“web shell"脚本——你将不得不使用一个或多个相对较小的文件中某处的一组函数,以允许用 ..
发布时间:2021-12-01 11:09:43 PHP