security相关内容

HttpRequest主机漏洞

我想听听您关于从HttpRequest的主机属性中提取域名的任何安全漏洞的建议？ 我已经使用ASP.NET Core开发了一个多租户的PWA，并从我用来在数据库中查找信息的主机(HttpRequest.host)中提取域名(即租户)名称。 例如，如果我有一个类似www.JoeBloggs.com的URL，提取的域将是‘JoeBloggs’。然后使用它检索我需要的有关该租户的信息。 信 ..

发布时间：2022-09-21 10:51:05 sql security httprequest code-injection host 其他开发

访问令牌：撤销与删除

我正在使用dusterio/lumen-passport创建一个路由/user/logout，并在控制器操作中手动吊销令牌，这会导致用户注销。 我有两个注销用户的选项。吊销令牌(它将令牌保留在数据库中-只设置一个标志，告知令牌无用)并删除令牌。 我的问题很简单： 管理令牌的最佳方法是什么？我应该通过删除还是通过吊销来注销？ 将来，我将使用redis来存储令牌，因此我想我应该删除 ..

发布时间：2022-08-26 19:23:05 laravel security oauth-2.0 lumen laravel-passport 其他开发

如何安全存储Android密钥库密码

在一个应用程序中，我使用了Android密钥库。我已经为整个密钥库和每个密码条目设置了一个密码。因为这些密码是字符串，所以它们存储在代码中的字符串成员中。 显然，如果我想发布应用程序，这是不安全的，因为潜在攻击者可能会反编译APK并获得密码，因为它是硬编码在应用程序中的。 我的问题是： 在上面的场景中：攻击者是否能够读取我的密钥库文件，或者(在未安装根的手机上)该文件可能只有我的 ..

发布时间：2022-08-21 14:06:31 android security passwords keystore android-keystore 移动开发

如果我们只使用MD5来计算唯一值，应用程序是否会通过FIPS认证？

我们的软件具有计算某些数据的独特部分的功能。 为了做到这一点，我们使用MD5散列函数，存储所有散列并消除那些重复的散列。 我们不会将MD5用于密码散列或其他安全关键型使用案例。 如果我们只有这些用例，我们的软件是否会通过FIPS认证？ 我知道MD5不是FIPS认可的算法，但据我所知，它只有在存在安全风险时才是关键的，例如有人使用它来散列密码。 FIPS 根据FIPS140-2遵从 ..

发布时间：2022-08-12 18:44:27 security hash md5 fips 其他开发

在两个命名域之间共享会话Cookie

我有一个具有下列域的.Net Web应用程序： Www.domain.com Sub.domain.com Files.domain.com 当用户登录到domain.com或sub.domain.com时，我希望他们共享会话状态(即同时登录到这两个域)。这可以通过将会话Cookie上的域设置为“.domain.com”来实现。 然而，我的问题是，由于安全问题，域“files.domain.co ..

发布时间：2022-08-10 20:23:14 asp.net session security session-cookies C#/.NET

如何使用公共客户端下发的令牌查询密钥罩资源权限

我有一个受Keyloak保护的前端Java客户端。前端应用程序的Keyloak客户端的类型为Public，名为blog_gui。 我还有一个受Confidential客户端保护的API，该客户端名为‘BLOG_API’，已启用Authorization。 当我从我的前端应用程序向API发出请求时，我将来自public客户端(Blog_Gui)的由Keyloak发布的JWT作为请求标头中 ..

发布时间：2022-08-08 09:47:32 node.js security keycloak 其他开发

.NET Core 3.0 WCF传递安全令牌

我可以生成SecurityToken，但在创建频道时无法传递它。 在.NET框架4.8中我可以这样做 Var代理=factory.CreateChannelWithIssuedToken(securityToken)； 但我在.Net Core中找不到替代方案，我查看了反编译的源代码， 我通过创建POCO"；FederatedClientCredentialsParam ..

发布时间：2022-08-05 11:49:47 security wcf token channel 其他开发

如何在日志记录中过滤部分路径(而不是参数)？

在我的路线中，我有一个类似于GET 'check/:secret的路线。 当我向日志中的该路由发送请求时，我看到： Started GET "/check/the-secret-here" for ::1 at 2021-01-14 16:38:01 -0600 ... 我想对密码进行筛选/密文处理，使其看起来像： Started GET "/check/[FILTERED] ..

发布时间：2022-08-02 16:49:35 ruby-on-rails security ruby-on-rails-5 其他开发

受SAML保护的资源

我正在尝试使用SAML保护资源。有三个参与者在起作用：身份提供者(IdP，不在我的控制范围之内)、服务提供者(SP，我碰巧使用了Spring-Security-SAML，但这个问题并不特定于此)，以及受保护的资源(PR，SP之外的服务中的某个受保护的端点)。 我需要支持两个场景： 用户首次尝试访问PR，没有任何类型的会话。 当用户以前访问过PR时，他们尝试再次访问PR。 有很多 ..

发布时间：2022-07-18 14:48:31 security saml saml-2.0 protected-resource 其他开发

通过PowerShell在IIS 7.5中启用模拟

我希望有人能帮忙，我正在尝试启用IIS7中的身份验证部分下的启用“ASP.NET模拟”，我已经使用以下命令启用了其他部分： Set-WebConfigurationProperty ` -filter /system.WebServer/security/authentication/windowsAuthentication ` -name enabled ` -v ..

发布时间：2022-07-14 17:00:16 security iis powershell iis-7.5 impersonation 服务器开发

如何使用IBMJSSE2默认提供程序从SSLContext获取所有TLS会话？

我使用IBMJSSEProvider2作为TLS连接的默认设置，并使用以下代码显示有关TLS会话的信息： SSLSessionContext sslSessionContext = SSLContext.getDefault().getClientSessionContext(); Enumeration sessionIds = sslSessionContext.getI ..

发布时间：2022-06-29 15:18:46 java security ssl websphere tls1.2 Java开发

Windows如何决定是否显示UAC提示？

在我的VB6应用程序中，我打开其他EXE文件。我的应用程序在没有任何UAC提示的情况下运行，但我有一个检查软件更新的EXE。这将提示UAC提示。那么，Windows如何决定是否显示UAC提示符？我看到了这个link。那么，这取决于我在应用程序中编写的代码吗？有趣的是，我的应用程序(即主EXE文件)不提示UAC，而一个检查和下载更新的小EXE提示UAC。我已经对所有的EXE文件进行了数字签名。我已经 ..

发布时间：2022-06-25 16:59:18 windows security windows-7 vb6 uac 其他开发

如何限制对lambda的访问

我有一个前端应用程序，该应用程序将使用lambda服务，端点启用CORS的方式如下： // serverless.yml functions: test: handler: functions/test.handler events: - http: path: /test method: get cors: true 测试函数的处理 ..

发布时间：2022-06-17 14:20:45 amazon-web-services security aws-lambda serverless 其他开发

保护Docker映像不被复制或加密Docker映像内容

我们用python语言开发了一个工具，它使用了许多库和其他算法。我们希望通过码头形象将这一点提供给现场客户。它工作得很好。但是，如果有人复制图像并导出/提取(EXPORT或SAVE命令)，所有内容都将变为可见，包括我们的python文件和库(Python)文件。 有没有办法保护我们的代码，这样客户就不能导出它或看到图像中的任何内容？有没有一种方法可以加密或锁定整个图像？我相信混淆可以在一定程 ..

发布时间：2022-05-30 09:00:59 docker security encryption locking obfuscation 其他开发

当应用程序作为服务运行时，AcceptSecurityContext失败

我有一个简单的HTTP服务器，它使用协商协议对客户端进行身份验证。它使用SSPI调用来获取服务器凭据并建立安全上下文。服务器在域中，并代表域用户运行。一切正常，如果我在控制台模式下启动服务器，我会得到HTTP200响应。但是，当我将其作为服务运行时，我收到了SEC_E_INVALID_HANDLE错误。以下是我在控制台模式下启动它时发生的情况： 1.客户端发送HTTP GET请求http:/ ..

发布时间：2022-05-29 13:11:54 c# security windows-authentication ntlm sspi C#/.NET

在Magento 1.9.2.4上安装PATCH_SUPEE-9767_CE_1.9.3.0_v1-2017-05-25-09-09-56时出错

我收到以下错误，但不知道原因。我的所有扩展都已正确安装，不会影响任何代码代码。 有什么想法吗？ sudo sh ./PATCH_SUPEE-9767_CE_1.9.3.0_v1-2017-05-25-09-09-56.sh ./PATCH_SUPEE-9767_CE_1.9.3.0_v1-2017-05-25-09-09-56.sh: 14: ./PATCH_SUPEE-9767_CE ..

发布时间：2022-05-14 13:12:03 security magento magento-1.9 patch 其他开发

使用新的GPG密钥退出以前的Git提交

我正在尝试转换到新的GPG密钥。我想用新的GPG密钥重新签署我以前在Git存储库中的所有提交(该存储库具有使用我以前使用的密钥的有效签名)。 换句话说，我如何(用我的新密钥)自动放弃我用以前的密钥签署的所有提交？ 如果您需要在示例中使用密钥指纹，请使用0000000000000000000000000000000000000000作为我的旧GPG密钥指纹，使用1111111111111 ..

发布时间：2022-05-14 09:03:53 git security digital-signature git-commit gnupg 其他开发

安全存储Google Apps脚本发布库中使用的API密钥

在Google Sheets中，有一个脚本使用&UrlFetchApp"；从外部API获取信息，而该外部API要求在每个调用中包含API密钥。 工作表有多个编辑器，但只有所有者才能看到API密钥，因此不能将密钥存储在脚本本身或使用PropertiesService。 以下解决方案会阻止工作表编辑看到密钥吗？ 新建独立Apps Script项目。 在独立脚本中，创建以 ..

发布时间：2022-05-08 21:34:09 security google-apps-script google-sheets libraries 其他开发

如果有人提交恶意软件Nuget包怎么办？

我检查了Nuget submission process，没有找到任何有关基本检查或审阅过程的内容。 如果有人提交了一个电子邮件模板帮助程序包，但它实际上执行电子邮件嗅探，那又如何呢？ 如果我在这里遗漏了什么，请纠正我。 推荐答案 没有中央审查流程-您是对的。在从任何来源获取编译后的二进制文件时，您应该采取类似的谨慎措施。有人可以在任何公共网站(SourceForge、CNET ..

发布时间：2022-04-20 17:38:52 c# security nuget nuget-package C#/.NET

使用FTP在Visual Studio中发布

我想使用ClickOnce发布我的应用程序(因为我还没有找到任何其他解决方案，它与IDE一样简单且集成得很好)。 我已经建立了一个网站来发布我的应用程序，用户可以从那里下载它。我的理解是，发布ClickOnce的唯一方法是通过FTP。我读到过，有了ftp，你的密码就可以被“拦截”了。 这到底是什么意思？互联网上任何地方的任何人都能看到你的密码吗？或者它们必须位于您的本地网络中？基本上- ..

发布时间：2022-04-20 15:51:22 c# security ftp clickonce publishing C#/.NET