Предположим, что Вы имели право решать, как хешированные пароли должны были быть сохранены в DBMS. Есть ли очевидные слабые места в схеме как этот? Для создания значения хэш-функции, сохраненного в DBMS, возьмите: A...
В дополнение к моему предыдущему вопросу о соленых паролях в PHP/MySQL у меня есть другой вопрос относительно солей. То, когда кто-то говорит, "используют случайную соль" для пред/добавлять к паролю, делает это означает:...
Несколько дней назад была пара вопросов на уязвимостях переполнения буфера (таких как Java, имеет переполнение буфера?, Безопасный C и университеты - обученный переполнению буфера, для именования...
Это связано с вопросом, 'Почему стеки обычно растут вниз?', но больше с точки зрения безопасности. Я обычно обращаюсь к x86. Это кажется мне нечетный, который вырастил бы стек...
Возможный Дубликат: шифруя/Хешируя незашифрованные пароли в базе данных Recently, я обнаружил, что крупнейшие хостинговые компании хранят пароли своих пользователей в простом тексте и даже просят последнее...
Существует несколько вопросов (C#, Java), что покрытие, как можно было бы реализовать автоматические обновления. Кажется первоначально легким обеспечить автоматические обновления, и нет по-видимому никаких серьезных оснований не к...
Я читаю отчет из "компании" безопасности веб-приложения, кого сканировал несколько веб-сайтов компании, на которую я работаю. Это появляется из отчета - который кажется записанным ни с кем...
Ранее сегодня вопрос задали относительно стратегий контроля ввода в веб-приложениях. Главный ответ, во время записи, предлагает в PHP просто с помощью htmlspecialchars и mysql_real_escape_string...
Мое приложение должно считать URL SSL от третьего лица. Как я лучше всего храню сторонние учетные данные в своей собственной базе данных, которая защищает сторонние учетные данные от того, чтобы быть поставленным под угрозу? Рассмотрите обоих...
Я должен генерировать UUID для возможного хранения в базе данных. Я могу генерировать тезисы UUID из JavaScript на клиентском браузере (Существуют некоторые примеры здесь)? Есть ли любая угроза безопасности выполнения его это...
Я вижу это слово почти в каждом перекрестном сервисном приложении в эти дни. Что такое точно ключ API и каково его использование? Кроме того, каково различие между общедоступными и частными ключами API.
Я знаю, что просто использование рэнда () предсказуемо, если Вы знаете то, что Вы делаете и имеете доступ к серверу. У меня есть проект, который очень зависит от выбора случайного числа, которое является как...
Что касается гибкой разработки, каковы лучшие практики для тестирования безопасности на выпуск? Если это ежемесячный выпуск, есть ли магазины, которые проводят ежемесячные тесты?
Я очень удивлен, что этот вопрос не был обсужден всесторонний: Эта статья говорит нам, как использовать windbg для дампа рабочего процесса .NET строки в памяти. Я провел много времени, исследуя SecureString...
Я в настоящее время пытаюсь защитить свое классическое приложение ASP от XSS. Я столкнулся с AntiXSS от Microsoft в сети, и я задавался вопросом, будет ли это работать с классическим приложением? Если не делают...
Я хочу, чтобы на моем веб-сайте был установлен флажок, который пользователи могут нажимать, чтобы им не приходилось входить в систему каждый раз, когда они посещают мой веб-сайт. Я знаю, что мне нужно будет сохранить куки на своем компьютере, чтобы реализ
Я создал веб-приложение, которое размещается на Godaddy на общем сервере. Я планирую использование PayPal для моих транзакций, который создает проблему. В этой точке учетные данные (электронная почта PayPal и...
Попытка декодировать недопустимую закодированную utf-8 страницу HTML дает различные результаты в Python, Firefox и хроме. Недопустимый закодированный фрагмент от тестовой страницы похож на 'PREFIX\xe3\xabSUFFIX'>>>...
Сколько еще безопасный это, чем простой MD5? Я только что начал изучать безопасность пароля. Я довольно плохо знаком с PHP. $salt = 'csdnfgksdgojnmfnb'; $password = md5 ($salt.$ _POST ['пароль']); $result =...
Существуют тонны хороших бумаг о разработке и разработке для безопасности (и даже набор сообщений на ТАК), но все они, кажется, концентрируются на том, что необходимо сделать. То, что я после, однако...
Я пытаюсь выполнить сценарий от совместно используемой папки, которой я доверяю: PowerShell - файл "\\server\scripts\my.ps1", Но я получаю предупреждение системы безопасности и должен нажать 'R' для продолжения Выполнения Предупреждения системы
Я хочу, чтобы привилегированное пользователями (не корень) процесс запустило новые процессы как пользователя никто. Я попробовал прямой вызов к setuid, который перестал работать с-1 EPERM на Ubuntu 8.04: #include <sys/types.h> #include...
Я работаю над приложением.NET, где я пытаюсь создать сценарии базы данных. При разрабатывании проекта я добираюсь, ошибка "Не может создать контекст SSPI".. Эту ошибку показывают в выводе...
Я задаюсь вопросом, может ли у меня быть несколько открытых ключей для закрытого ключа. Это может быть сделано? Если так, что является проблемами безопасности!? Если я генерирую несколько пар ключей на основе тех же начальных значений (без...
Существует ли канонический способ протестировать, чтобы видеть, имеет ли процесс административные привилегии на машине? Я собираюсь быть запуском длительного процесса, и намного позже во время жизни процесса это...
Я разрабатываю приложение, которое будет хранить пользовательские уязвимые данные. Моя проблема использует другие приложения, с которыми пользователь может просмотреть те хранившие данные. Затем я должен обеспечить лучшую безопасность для...
У меня есть полностью пользовательский сайт PHP с большим количеством вызовов базы данных. Я просто взломал инжекцию. Этот небольшой блок кода ниже обнаружился на десятках моих страниц PHP. <? php / **/оценка (base64_decode (большой...
Какие-либо хорошие стратегии, фрагменты кода и т.д. для предотвращения управления URL? Например, у меня есть этот URL, http://localhost/profile/edit/5, идентификатор мог легко быть изменен на что-либо и таким образом люди могли...
Вопрос: действительно ли этот метод аутентификации API легко hackable? apiKey = "123456789" apiCallId = "1256341451" apiSecret = "67d48e91ab2b7471d4be2a8c2e007d13" сигнал = md5 (apiKey + apiCallId + apiSecret) =...
Я разрабатываю веб-приложение. Как, надлежащий, я использовал вещи как Joomla в прошлом для создания потрясающего материала, но теперь наконец пачкал руки с PHP, MySQL и CodeIgniter. Когда Вы'...