0
ответов
Отображается только защищенный контент
Веб-сайт нашей компании (ASP.Net 3.5) использует SSL для защиты страниц оформления заказа. Пользователи получают сообщение «Отображается только защищенный контент» в нижней части IE. Многие из них сходят с ума и отказываются от своих ...
вопрос задан: 22 March 2012 16:08
0
ответов
Защитить Java от обратного проектирования с помощью шифрования промышленного уровня.
Цель: Защитить мое Java-приложение от обратного проектирования. Идея: разделить программу на две половины (загрузчик и программу)
загрузчик будет обычным jar
программа будет зашифрованным jar-файлом (...
вопрос задан: 21 March 2012 18:56
0
ответов
Ограничение доступа к статическим файлам в Django/Nginx
Я создаю систему, которая позволяет пользователям создавать документы, а затем загружать их. Документы представляют собой PDF-файлы (не то, чтобы это имело значение ради этого вопроса), и когда они создаются, я сохраняю...
вопрос задан: 21 March 2012 18:25
0
ответов
Возникли проблемы с внедрением моего пользователя безопасности Spring в мой контроллер
Я использую Spring 3.1.0.RELEASE с Spring Security 3.1. Я хочу внедрить моего пользователя Spring (то есть пользователя, который в данный момент вошел в систему) в контроллер. Я хочу сделать это, а не использовать...
вопрос задан: 20 March 2012 21:13
0
ответов
Разница между переполнением буфера и возврата к атаке LIBC
Я хочу понять точную разницу между этими двумя типами атаки. Из того, что я прочитал: переполнение буфера: он перезаписывает адрес в стеке, чтобы указать на другой раздел кода ...
вопрос задан: 20 March 2012 19:39
0
ответов
Формат атаки переполнения буфера
Обычно мы все видим базовый буфер формат переполнения, который имеет: -
NOP + шелл-код + return_address Почему мы не используем,
NOP + return_address + шеллкод? где мы указываем адрес возврата на ...
вопрос задан: 20 March 2012 19:38
0
ответов
Пример переполнения буфера из книги Art of Exploitation
Я читал эту книгу Art of Exploitation, которая вроде как хорошая книга и наткнулся на этот пример из файла exploit_notesearch.c. Вкратце автор пытается переполнить программу из файла notesearch.c int ...
вопрос задан: 20 March 2012 17:40
0
ответов
Как использовать Shiro для аутентификации пользователя на основе файлов cookie или facebook?
В моем веб-приложении у меня нет регистрации / входа в систему. У меня есть учетная запись пользователя, которая создается автоматически при первом посещении сайта на основе файла cookie. Как я могу использовать ...
вопрос задан: 20 March 2012 00:47
0
ответов
Насколько безопасны клиентские SSL-сертификаты в мобильном приложении?
Я хочу обеспечить безопасную связь между моим приложением для Android/iOS и серверной службой, доступной через Интернет, поэтому я изучаю HTTPS/SSL. Если я создам самозаверяющие сертификаты, а затем поставлю клиент...
вопрос задан: 19 March 2012 17:24
0
ответов
Использование переменных для проверки того, разрешены ли определенные действия
Я думал о реализации функций включения и выключения определенных действий на своем веб-сайте, таких как регистрация и ведение журнала. Я мог бы включить файл с такими переменными, как
вопрос задан: 19 March 2012 12:37
0
ответов
где безопасность в PHP 5.4 при удалении безопасного_режима
У меня в голове неприятный вопрос:безопасный_режим был удален в PHP 5.4, так в чем заключается безопасность это удаление? Означает ли это, что любое приложение может выполнять любую программу? Какой метод используется...
вопрос задан: 19 March 2012 00:18
0
ответов
Разделить массив байтов по разделителю
У меня небольшая проблема, и другие вопросы здесь мне не очень помогли. Я изучаю безопасность и пытаюсь написать шифровальщик для проекта. Для тех, кто не знает, что это такое, вы можете...
вопрос задан: 18 March 2012 01:58
0
ответов
Безопасен ли XSS-метод jQuery .text()?
У меня есть неэкранированные данные от пользователей. Так безопасно ли использовать так: var data = 'a&f"# '; // пример данных из ответа ajax
if (typeof(data) === 'string') $('body')....
вопрос задан: 16 March 2012 09:53
0
ответов
Когда безопасно включать CORS?
Я разрабатываю веб-API JSON/REST, для которого я специально хочу, чтобы сторонние веб-сайты могли вызывать мою службу через AJAX. Следовательно, моя служба отправляет знаменитый заголовок CORS: Access-Control-...
вопрос задан: 15 March 2012 19:52
0
ответов
Принять ненадежный сертификат сервера SSL с сокетом CFStream на iOS
Мне нужно открыть соединение сокета CFStream с сервером, который имеет ненадежный корень ЦС. У меня есть сертификат сервера, и я могу создать из него структуру SecCertificateRef. Проблема в том, как...
вопрос задан: 15 March 2012 15:31
0
ответов
Частичное доверие C# WebApp log4net (высокое или среднее) не работает
Я создал простое веб-приложение .NET 4 в VS2010 и добавил ссылку на log4net 1.2.11.0 (последнюю). В этом проекте я создал класс Logger (см. конец этого поста). Когда я вызываю этот класс Logger...
вопрос задан: 14 March 2012 15:53
0
ответов
Rails attr_accessible :object vs :object_id
Пользователь имеет одну учетную запись. При настройке attr_accessible в модели пользователя лучше защитить: учетную запись,: учетную запись или и то, и другое? attr_accessible :account или attr_accessible :account_id или ...
вопрос задан: 14 March 2012 14:39
0
ответов
Подходит ли bcrypt для больших веб-сайтов?
Я уже некоторое время пользуюсь поддержкой bcrypt, но не могу ответить на простой наводящий вопрос. Представьте, что у меня есть достаточно успешный веб-сайт в США... около 100 000 активных пользователей...
вопрос задан: 14 March 2012 03:44
0
ответов
Обнаружение значения FileSystemRights, которое не определено в перечислении
Я написал приложение, которое проверяет все разрешений файловой системы для каталога. Каталог имеет ряд правил доступа (типа FileSystemAccessRule). Каждое правило доступа имеет свойство...
вопрос задан: 14 March 2012 01:47
0
ответов
Приложение Spring MVC фильтрует HTML в URL -Является ли это проблемой безопасности?
Мое существующее приложение Spring Web MVC имеет следующее сопоставление обработчика в контроллере. @RequestMapping(method = RequestMethod.GET, value = "/welcome")Я запускаю следующий запросhttp://...
вопрос задан: 13 March 2012 18:06
0
ответов
Сегодняшний эксплойт XSS onmouseover в твиттере. com
Вы можете объяснить, что именно произошло сегодня в Твиттере? По сути, эксплойт заставлял людей публиковать твит, содержащий эту ссылку: http://t.co/@"style="font-size:999999999999px;"onmouseover="$....
вопрос задан: 13 March 2012 01:21
0
ответов
Использование переполнения кучи для записи произвольных данных
Я пытался изучить основы атаки переполнения кучи. Я в основном заинтересован в использовании повреждения или модификации метаданных чанка в качестве основы для атаки, но я также открыт для ...
вопрос задан: 12 March 2012 11:38
0
ответов
Вычисление хэша SHA256 в Android/Java и C#
Я пытаюсь сгенерировать хэш SHA256 в Android, который я затем передаю в Веб-служба ASP.NET Web API и сравните там хеш.Таким образом, мне нужно построить хеш в Android, который дал то же самое ...
вопрос задан: 12 March 2012 11:14
0
ответов
Шифрование ключа AES с помощью открытого ключа RSA
Я пишу небольшое приложение для передачи файлов, более или менее способ узнать больше об основах программного шифрования. Идея состоит в том, чтобы сгенерировать пару ключей RSA, обменяться открытыми ключами,...
вопрос задан: 12 March 2012 03:53
0
ответов
Модель безопасности Java ClassLoader
Я пытаюсь понять модель безопасности, используемую, когда JVM запрашивают загрузку классов.Из спецификации JVM для песочницы я пришел к выводу, что стандартная реализация JVM должна...
вопрос задан: 12 March 2012 02:30
0
ответов
Интроспекция стека Java
Я надеялся, что кто-нибудь может помочь мне со следующим: Мое понимание интроспекции стека Java (может быть, здесь немного упрощено) заключается в том, что процесс генерирует кадр стека, который затем ...
вопрос задан: 11 March 2012 14:50
0
ответов
Является ли загрузка провайдера OpenID в iframe плохой идеей, если провайдер и RP находятся в одном домене?
Здесь есть много вопросов, когда кто-то хочет загрузить страницу входа провайдера OpenID в iframe, а не перенаправлять и позволить провайдеру контролировать весь внешний вид и поведение ...
вопрос задан: 11 March 2012 03:55
0
ответов
Какой длины должна быть соль, чтобы сделать попытки атак по словарю невозможными?
Я разрабатываю систему аутентификации, которая работает следующим образом: Пользователь вводит пароль
Образуется соль.
Пароль хэшируется с помощью Whirlpool
Хешированный пароль Whirlpool объединяется с простым ...
вопрос задан: 8 March 2012 18:07
0
ответов
неправильный base64 в android
Привет, я использую следующий код для анализа сведений о сертификате. Все в порядке, за исключением небольшой проблемы, упомянутой ниже. пакет android.net.http; импортировать java.io.BufferedReader;
import java.io....
вопрос задан: 8 March 2012 15:14
0
ответов
Активация продукта с помощью сертификата открытого ключа
Мне нужны идеи, как создать алгоритм активации. Например, у меня есть демонстрационный сертификат. При условии, что приложение работает в демонстрационном режиме. Когда предоставляется сертификат полной версии, тогда ...
вопрос задан: 7 March 2012 21:49