security相关内容
我想听听您关于从HttpRequest的主机属性中提取域名的任何安全漏洞的建议? 我已经使用ASP.NET Core开发了一个多租户的PWA,并从我用来在数据库中查找信息的主机(HttpRequest.host)中提取域名(即租户)名称。 例如,如果我有一个类似www.JoeBloggs.com的URL,提取的域将是‘JoeBloggs’。然后使用它检索我需要的有关该租户的信息。 信
..
我正在使用dusterio/lumen-passport创建一个路由/user/logout,并在控制器操作中手动吊销令牌,这会导致用户注销。 我有两个注销用户的选项。吊销令牌(它将令牌保留在数据库中-只设置一个标志,告知令牌无用)并删除令牌。 我的问题很简单: 管理令牌的最佳方法是什么?我应该通过删除还是通过吊销来注销? 将来,我将使用redis来存储令牌,因此我想我应该删除
..
在一个应用程序中,我使用了Android密钥库。我已经为整个密钥库和每个密码条目设置了一个密码。因为这些密码是字符串,所以它们存储在代码中的字符串成员中。 显然,如果我想发布应用程序,这是不安全的,因为潜在攻击者可能会反编译APK并获得密码,因为它是硬编码在应用程序中的。 我的问题是: 在上面的场景中:攻击者是否能够读取我的密钥库文件,或者(在未安装根的手机上)该文件可能只有我的
..
我们的软件具有计算某些数据的独特部分的功能。 为了做到这一点,我们使用MD5散列函数,存储所有散列并消除那些重复的散列。 我们不会将MD5用于密码散列或其他安全关键型使用案例。 如果我们只有这些用例,我们的软件是否会通过FIPS认证? 我知道MD5不是FIPS认可的算法,但据我所知,它只有在存在安全风险时才是关键的,例如有人使用它来散列密码。 FIPS 根据FIPS140-2遵从
..
我有一个具有下列域的.Net Web应用程序: Www.domain.com Sub.domain.com Files.domain.com 当用户登录到domain.com或sub.domain.com时,我希望他们共享会话状态(即同时登录到这两个域)。这可以通过将会话Cookie上的域设置为“.domain.com”来实现。 然而,我的问题是,由于安全问题,域“files.domain.co
..
我有一个受Keyloak保护的前端Java客户端。前端应用程序的Keyloak客户端的类型为Public,名为blog_gui。 我还有一个受Confidential客户端保护的API,该客户端名为‘BLOG_API’,已启用Authorization。 当我从我的前端应用程序向API发出请求时,我将来自public客户端(Blog_Gui)的由Keyloak发布的JWT作为请求标头中
..
我可以生成SecurityToken,但在创建频道时无法传递它。 在.NET框架4.8中我可以这样做 Var代理=factory.CreateChannelWithIssuedToken(securityToken); 但我在.Net Core中找不到替代方案,我查看了反编译的源代码, 我通过创建POCO";FederatedClientCredentialsParam
..
在我的路线中,我有一个类似于GET 'check/:secret的路线。 当我向日志中的该路由发送请求时,我看到: Started GET "/check/the-secret-here" for ::1 at 2021-01-14 16:38:01 -0600 ... 我想对密码进行筛选/密文处理,使其看起来像: Started GET "/check/[FILTERED]
..
我正在尝试使用SAML保护资源。有三个参与者在起作用:身份提供者(IdP,不在我的控制范围之内)、服务提供者(SP,我碰巧使用了Spring-Security-SAML,但这个问题并不特定于此),以及受保护的资源(PR,SP之外的服务中的某个受保护的端点)。 我需要支持两个场景: 用户首次尝试访问PR,没有任何类型的会话。 当用户以前访问过PR时,他们尝试再次访问PR。 有很多
..
我希望有人能帮忙,我正在尝试启用IIS7中的身份验证部分下的启用“ASP.NET模拟”,我已经使用以下命令启用了其他部分: Set-WebConfigurationProperty ` -filter /system.WebServer/security/authentication/windowsAuthentication ` -name enabled ` -v
..
我使用IBMJSSEProvider2作为TLS连接的默认设置,并使用以下代码显示有关TLS会话的信息: SSLSessionContext sslSessionContext = SSLContext.getDefault().getClientSessionContext(); Enumeration sessionIds = sslSessionContext.getI
..
在我的VB6应用程序中,我打开其他EXE文件。我的应用程序在没有任何UAC提示的情况下运行,但我有一个检查软件更新的EXE。这将提示UAC提示。那么,Windows如何决定是否显示UAC提示符?我看到了这个link。那么,这取决于我在应用程序中编写的代码吗?有趣的是,我的应用程序(即主EXE文件)不提示UAC,而一个检查和下载更新的小EXE提示UAC。我已经对所有的EXE文件进行了数字签名。我已经
..
我有一个前端应用程序,该应用程序将使用lambda服务,端点启用CORS的方式如下: // serverless.yml functions: test: handler: functions/test.handler events: - http: path: /test method: get cors: true 测试函数的处理
..
我们用python语言开发了一个工具,它使用了许多库和其他算法。我们希望通过码头形象将这一点提供给现场客户。它工作得很好。但是,如果有人复制图像并导出/提取(EXPORT或SAVE命令),所有内容都将变为可见,包括我们的python文件和库(Python)文件。 有没有办法保护我们的代码,这样客户就不能导出它或看到图像中的任何内容?有没有一种方法可以加密或锁定整个图像?我相信混淆可以在一定程
..
我有一个简单的HTTP服务器,它使用协商协议对客户端进行身份验证。它使用SSPI调用来获取服务器凭据并建立安全上下文。服务器在域中,并代表域用户运行。一切正常,如果我在控制台模式下启动服务器,我会得到HTTP200响应。但是,当我将其作为服务运行时,我收到了SEC_E_INVALID_HANDLE错误。以下是我在控制台模式下启动它时发生的情况: 1.客户端发送HTTP GET请求http:/
..
我收到以下错误,但不知道原因。我的所有扩展都已正确安装,不会影响任何代码代码。 有什么想法吗? sudo sh ./PATCH_SUPEE-9767_CE_1.9.3.0_v1-2017-05-25-09-09-56.sh ./PATCH_SUPEE-9767_CE_1.9.3.0_v1-2017-05-25-09-09-56.sh: 14: ./PATCH_SUPEE-9767_CE
..
我正在尝试转换到新的GPG密钥。我想用新的GPG密钥重新签署我以前在Git存储库中的所有提交(该存储库具有使用我以前使用的密钥的有效签名)。 换句话说,我如何(用我的新密钥)自动放弃我用以前的密钥签署的所有提交? 如果您需要在示例中使用密钥指纹,请使用0000000000000000000000000000000000000000作为我的旧GPG密钥指纹,使用1111111111111
..
在Google Sheets中,有一个脚本使用&UrlFetchApp";从外部API获取信息,而该外部API要求在每个调用中包含API密钥。 工作表有多个编辑器,但只有所有者才能看到API密钥,因此不能将密钥存储在脚本本身或使用PropertiesService。 以下解决方案会阻止工作表编辑看到密钥吗? 新建独立Apps Script项目。 在独立脚本中,创建以
..
我检查了Nuget submission process,没有找到任何有关基本检查或审阅过程的内容。 如果有人提交了一个电子邮件模板帮助程序包,但它实际上执行电子邮件嗅探,那又如何呢? 如果我在这里遗漏了什么,请纠正我。 推荐答案 没有中央审查流程-您是对的。在从任何来源获取编译后的二进制文件时,您应该采取类似的谨慎措施。有人可以在任何公共网站(SourceForge、CNET
..
我想使用ClickOnce发布我的应用程序(因为我还没有找到任何其他解决方案,它与IDE一样简单且集成得很好)。 我已经建立了一个网站来发布我的应用程序,用户可以从那里下载它。我的理解是,发布ClickOnce的唯一方法是通过FTP。我读到过,有了ftp,你的密码就可以被“拦截”了。 这到底是什么意思?互联网上任何地方的任何人都能看到你的密码吗?或者它们必须位于您的本地网络中?基本上-
..