security 第12页 - IT屋-程序员软件开发技术分享社区

格式字符串漏洞 - printf

为什么这会打印 0x08480110 处的内存地址的值?我不确定为什么有 5 %08x 参数 - 这将你带到堆栈的哪个位置? 地址 = 0x08480110地址(编码为 32 位文件字符串):“\x10\x01\x48\x08"printf ("\x10\x01\x48\x08_%08x.%08x.%08x.%08x.%08x|%s|"); 这个例子取自这篇论文的第 11 页 http://c ..

发布时间：2022-01-15 10:33:53 c string security format 其他开发

C - %x 格式说明符

我有一个小问题.我知道 %x 格式说明符可用于在格式字符串攻击中从堆栈中读取值. 我找到了以下代码: %08x%08x%08x%08x 08 是什么意思?它到底在做什么?谢谢:) 解决方案故障: 8 表示要显示8位数字 0 你想用 0 的前缀而不是空格 x 要以小写十六进制打印. 快速示例(感谢 Grijesh Chauhan): #include ..

发布时间：2022-01-15 10:32:22 c string security format 其他开发

限制对 .NET 程序集的访问?

有没有办法让 .NET 程序集仅可供授权来源访问? 我的意思是我想要一个包含组件的 DLL，但我不希望任何人能够使用这些组件，但我的解决方案中的其他 DLL 和 EXE 除外.不过，我确实希望它们位于单独的 DLL 中. 如果这个功能存在的话，对命名空间的限制也是一个好主意. 有办法吗? 解决方案您可以创建内部类.并通过使用让您指定的程序集访问这些类Internals ..

发布时间：2022-01-14 23:53:03 .net security dll assemblies namespaces C#/.NET

如何在 iOS 中检查 SSL 证书的安全性?

我想检查 URL 中是否存在 SSL 证书，还想检查其版本和验证类型. 我创建了一个应用程序，我在其中调用 NSURLConnection 委托方法以通过服务器发送请求. 也使用了 "canAuthenticateAgainstProtectionSpace" 方法，但是一旦建立连接就不会调用此方法. 我如何做到这一点? 解决方案 iOS 无法提供对证书信息的非常精细的访 ..

发布时间：2022-01-14 20:20:23 ios security ios5 ios4 ssl-certificate 移动开发

如何在 Spring Boot 应用程序中测试 Keycloak 身份验证?

在 Spring Boot 项目中，我们启用了 Spring Security 并使用不记名令牌应用 Keycloak 身份验证，如以下文章所述: https://www.keycloak.org/docs/3.2/securing_apps/topics/oidc/java/spring-security-adapter.html https://www.keycloak.org/d ..

发布时间：2022-01-14 17:46:30 security spring-boot automated-tests keycloak bearer-token 其他开发

如何访问 XAMPP 7.0.9 安全页面?

我很难访问 xampp 7.0.9 的安全页面. 当我尝试访问 http://localhost/security 时，我得到一个找不到对象的错误.如果我尝试访问 http://localhost/security/xamppsecurity.php 我得到一个对象未找到错误也是. 我试图在官方网页以及官方论坛上找到答案，但没有找到任何可以帮助的东西. 解决方案是的，XA ..

发布时间：2022-01-14 09:09:05 php apache security xampp PHP

使用 IPTABLES 限制 MySQL 3306 端口

如何阻止每个人的 mysql 端口 3306，但允许它用于特定 IP?这是我目前所做的: iptables -I INPUT 1 -p tcp --dport 3306 -j ACCEPT 解决方案你需要多个规则来做到这一点.在大多数情况下，连接会发生什么取决于它匹配的第一条规则.所以，首先我们接受我们的朋友连接，其次，我们放弃任何其他人.瞧！ iptables -I INPUT 1 - ..

发布时间：2022-01-13 21:42:05 mysql security centos firewall iptables 数据库

MVC 6 绑定属性消失?

请原谅我的菜鸟问题，但我注意到绑定属性在 MVC 6 的控制器模板中不再显示为默认值. 我知道该属性仍然存在，但我们还需要使用它们吗?我听说它们可以用来防止过度发布攻击.他们是否将其删除是因为 MVC 6 可以在不使用它们的情况下找出防止这种情况的方法?还是有更安全的方法来防止这种情况发生? 解决方案防止过度发布的最好方法是获取实体，只更新需要更新的属性并保存. 假设你有一个 ..

发布时间：2022-01-13 12:00:04 security asp.net-core-mvc 其他开发

为什么 char[] 优于 String 的密码?

在 Swing 中，密码字段有一个 getPassword()(返回 char[])方法，而不是通常的 getText()(返回 String) 方法.同样，我遇到了一个建议不要使用 String 来处理密码. 为什么 String 在涉及密码时会对安全性构成威胁?使用char[]感觉不方便. 解决方案字符串是不可变的.这意味着一旦您创建了 String，如果另一个进程可以转储内存 ..

发布时间：2022-01-12 19:57:04 java string security passwords char Java开发

将 CCtray 与 Jenkins 一起使用，同时启用安全性(使用 HTTPS)

我将 Jenkins 服务器配置为仅使用 HTTPS 并启用了安全性.同样，我不喜欢任何未登录的人查看仪表板(即使它是空的).在这里，我禁用了“匿名"的“读取"访问权限. 到目前为止，这一切都完全符合我的喜好:) 但是想通过例如向远程客户端添加一些构建通知功能.使用“CCtray"之类的东西我遇到了麻烦.https:///cc.xml 现在只对登录用户有效.我希望能够在 ..

发布时间：2022-01-12 19:53:30 security jenkins continuous-integration cctray 其他开发

如何保护 JavaScript API 访问令牌?

有许多在线资源提供 JavaScript API 来访问他们的服务.为了更清楚，我的问题将基于 MapBox 的示例，但这适用于许多其他服务在各个领域. 当有人想在 Web 应用程序中使用此类服务(例如 MapBox 中的地图图像)时，他们通常需要注册/注册并获取访问令牌才能访问该服务. 现在，如果我从服务器端使用 API - 没有问题:我知道我的令牌安全地存储在服务器上的某个 ..

发布时间：2022-01-12 17:43:57 javascript security leaflet mapbox 前端开发

VB6 中的 CheckTokenMembership - 在 Windows 7 和 Windows 2008 上的 FreeSID 崩溃

我正在使用 CheckTokenMembership用于检查用户是否为管理员的 Windows API. 代码如下: 选项显式私有常量 SECURITY_BUILTIN_DOMAIN_RID 只要 = &H20私有常量 DOMAIN_ALIAS_RID_ADMINS 只要 = &H220私有声明函数 AllocateAndInitializeSid Lib "advapi32.dll" ( ..

发布时间：2022-01-12 11:22:15 security winapi vb6 crash 其他开发

使用 Java，如何获取 Windows 机器上所有本地用户的列表

如何使用 java 列出在 windows 机器 (Win2000+) 上配置的所有本地用户. 如果可能的话，我宁愿使用任何 java 2 com 网桥或任何其他第三方库来执行此操作. 首选Java的一些本机方法. 解决方案使用 Java-COM Bridge ，例如 Jacob.然后选择适当的 COM 库，例如COM API for WMI 列出本地用户，或任何其他 Windows ..

发布时间：2022-01-11 23:15:50 java windows security operating-system Java开发

在多租户系统中，如何在 RabbitMQ 中将队列设为私有/安全?

我已经阅读了 RabbitMQ 提供的 Get Started 指南，甚至贡献了第六个示例stormed-amqp，所以对知识有所了解关于 AMQP. 但是，该指南并不全面，并且避免了身份验证和授权等内容. 我们正在设计一个多租户系统，它将在 RPC 类型的情况下使用 RabbitMQ.这种 RPC 实现的不同之处可能在于远程过程实际上是系统上的其他租户程序. 基本上，我想隔离数 ..

发布时间：2022-01-11 17:38:20 security rabbitmq amqp multi-tenant 其他开发

删除服务器响应标头 IIS7

有没有办法从 IIS7 中删除“服务器"响应标头?有一些文章表明使用 HttpModules 我们可以实现相同的目标.如果我们没有服务器的管理员权限，这将很有帮助.我也不想写 ISAPI 过滤器. 我对我的服务器拥有管理员权限.所以我不想做上面的事情.所以，请帮我做同样的事情. 解决方案将此添加到您的 global.asax.cs: protected void Applicat ..

发布时间：2022-01-11 15:57:01 security iis-7 header response 其他开发

以安全格式存储游戏偏好和保存的游戏

这是来自 Apple 文档: 当您设计一款向 Game Center 报告分数的游戏时，您应该还要考虑游戏的安全需求.你想要分数向游戏中心报告，以准确记录玩家如何是做.这里有两个建议: 以安全的格式存储您的游戏偏好和保存的游戏，而不是明文.如果您的游戏数据以明文形式存储文本，玩家可以使用iTunes下载保存的游戏数据，修改它，并将其重新同步回设备.这可能会让玩家获得比您预期更高的分数. ..

发布时间：2022-01-11 11:45:45 ios objective-c security sprite-kit persistence 移动开发

如何保护 Android 应用程序中的字符串?

如何在 Android 应用程序中保护字符串? 选项: ProGuard: 它不保护字符串?proguard 是否可以混淆静态字符串常量? 加密字符串: 用于加密我需要在某个地方存储加密密钥(字符串)，这也是同样的问题，如何保护加密密钥. 从网络服务获取字符串:但是这个解决方案对我不起作用，因为应用没有互联网要求/访问，这是要求/业务决策. NDK: 编写包含字符串的 ..

发布时间：2022-01-10 23:31:25 android security android-ndk 移动开发

具有桌面应用程序安全性的 OAuth2

我有一个 Electron 应用程序，它基本上是一个 Google Drive 客户端.我打算使用 OAuth 2. 但是，Google API 要求我在生成 client_secret 的地方注册我的应用程序.由于这是一个桌面应用程序，我将 client_secret 存储在服务器中.认证URL在服务器中生成并发送给用户. 我担心人们会冒充应用程序并代表我的 client_secre ..

发布时间：2022-01-10 22:49:57 security oauth-2.0 google-drive-api electron desktop 其他开发

如何在电子js中对源代码进行混淆并保护源代码

我最近开发了一个带有 electron 框架的应用程序，在阅读了与电子 JavaScript 代码相关的安全问题后，我现在担心源代码保护. 我的意思是即使应用程序是为生产而构建的，也可以对代码进行逆向工程.我的应用程序包含许多关键信息，例如用于自动更新的 GitHub Private Token 等等. 我刚刚浏览了许多 SO 帖子，但没有找到完美的答案，因此请解决问题.使用电子无法混 ..

发布时间：2022-01-10 22:26:08 javascript security electron obfuscation code-security 前端开发

如果 contextIsolation = true，是否可以使用 ipcRenderer?

这是我的设置: 步骤 1. 使用代码创建一个 preload.js 文件: window.ipcRenderer = require('electron').ipcRenderer; 第 2 步.通过 webPreferences 在您的 main.js 中预加载此文件: mainWindow = new BrowserWindow({宽度:800，身高:600，网络偏好:{节点集成 ..

发布时间：2022-01-10 21:53:20 security electron 其他开发

security相关内容