与应用程序安全性和软件攻击相关的主题。请不要单独使用此标记,这会导致歧义。如果您的问题与特定编程问题无关,请考虑在Information Security SE上询问:https://security.stackexchange.com
我在设置 Security Onion 时遇到无法确定管理 IP 的问题。错误消息建议检查 vroot/sosetup.log 处的日志并验证网络
我知道密码应该在后端进行哈希/加盐处理,并且应该使用 HTTPS 进行传输。我担心的是,在帐户注册时,有一段代码是纯文本传递的......
Terraform 中的 AWS SecurityLake 汇总区域
在 https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/securitylake_data_lake 上的示例用法中 ,以下区域设置为“eu-west-1”。文档...
我正在寻找一种防止 CSRF 攻击的方法,但对如何将 CSRF 令牌传递给客户端感到困惑。我想避免将令牌插入到 HTML 中,因为我想最大限度地减少 SE...
为 OPC UA python 服务器/客户端(Asyncua)添加安全性
我是 OPC UA 和 Python 的新手,但通过 asyncua 示例,我创建了实际项目所需的示例。现在我需要为服务器和客户端添加安全性,现在使用用户名......
如果 user_info 为 None: 返回无 Correct_password = user_info["pw_bcrypt"].encode() 如果 state.cache.bcrypt 中有正确的密码: 如果要检查的密码!= state.cache.bcrypt[
我是 Flutter 新手,需要一些建议。 我正在开发一个移动应用程序,我需要将一些敏感的用户信息保存到数据库中。我正在使用加密库(https://pub.dev/packages/encrypt)...
我尝试在 hackthebox 的哈希上使用 hashcat 和规则,每次都会得到 Exhausted 的输出
哈希值是 SHA1 哈希值,我需要将 2020 附加到每个密码的末尾: Rule.txt 文件输入为:“$2 $0 $2 $0” 命令: hashcat -a 0 -m 100 hash.txt /opt/useful/SecLists/
打开特定 Android 应用程序的 ACTION_USAGE_ACCESS_SETTINGS 屏幕
我想要为我的应用程序储物柜 Android 应用程序提供 ACTION_USAGE_ACCESS_SETTINGS,无需 2 步骤导航。我的意思是我可以在后台获取它,例如媒体权限或直接访问我的应用程序
在微服务中实现日志记录功能后,我通过 SonarQube 代码检查发送了代码。 SonarQube 不断警告我有关记录器的安全问题。我尝试了几件事...
无法解决React网站中的点击劫持问题。 我已经在 clickjacking.io 中对此进行了测试。 框架破坏 如果(自我!==顶部){ 顶部.位置=自我.位置; ...</desc> <question vote="0"> <p>无法解决React网站中的点击劫持问题。 我已经在 clickjacking.io 中对此进行了测试。</p> <ol> <li>破坏框架</li> </ol> <pre><code> <script> if (self !== top) { top.location = self.location; } </script> </code></pre> <ol> <li>安全标头</li> </ol> <pre><code><meta http-equiv="X-Frame-Options" content="SAMEORIGIN" /> <meta http-equiv="Content-Security-Policy" content="frame-ancestors 'self' https://admin.nutrition.huskwellness.com" /> </code></pre> <ol> <li>服务器端使用的头盔</li> </ol> <pre><code>app.use( helmet.contentSecurityPolicy({ directives: { defaultSrc: ["'self'"], styleSrc: ["'self'", "'unsafe-inline'"], scriptSrc: ["'self'", "'unsafe-inline'"], }, }) ); app.use(helmet.frameguard({ action: "deny" })); app.use(helmet.xssFilter()); app.use(helmet.noSniff()); app.use(helmet.referrerPolicy({ policy: "same-origin" })); app.use(helmet.permittedCrossDomainPolicies()) </code></pre> <p>尝试过这种方法,但网站仍然可以在 iframe 中构建。</p> </question> <answer tick="false" vote="0"> <p>您可以尝试以下组合:</p> <ol> <li>Frame Busting:使用 JavaScript 代码阻止网站在 iframe 中加载,从而阻止覆盖恶意内容的尝试。</li> <li>X-Frame-Options 标头:发送 HTTP 标头以指示浏览器拒绝网站的框架,防止其嵌入其他域的 iframe 中。</li> <li>内容安全策略 (CSP):实施 CSP 来限制允许嵌入网站的域,从而降低点击劫持的风险。</li> </ol> </answer> </body></html>
使用外部API提供的相同访问令牌直至过期,由多个SpringBoot(客户端)微服务使用
我需要设计一个项目,其中基于 springboot 的应用程序具有多个微服务,利用外部 API 提供商托管的资源(多个 API)。 API 提供者使用 OAuth...
我使用 Python 3.11 引入的 switch 语句解决了这个 Hackerrank 挑战。我使用 eval 动态执行输入中给出的命令。 但是,我知道执行代码
$.get(code_url) 执行返回的代码,不使用 eval() 也不将其附加到 DOM。 jQuery 安全失败?
当我正在调试我的 NodeJS 应用程序时,我发现了这个巨大的事实:使用 jQuery,一个简单的 $.get(code_url) 其中 code_url 是服务器上 JavaScript 代码的 URL,执行代码。 什么是
我想为 Lucee CFML 应用程序实现安全身份验证,但我在下面找到的示例需要很大的学习曲线才能完成。关于创建安全会话的任何建议...
是否可以修改网页的源并从编辑后的源而不是从服务器重新加载该页面?
只是一个愚蠢的问题。我知道这是不可能的,但我只是出于偏执而要求确认。 无法编辑网页的源代码并以某种方式重新加载已编辑的脚本...
Chromium 更新后不再可以通过 WebRTC 禁用私有 IP 匿名化?
我们的Web应用程序依赖于访问运行浏览器的计算机的私有IP。 (计算机在无法访问互联网的专用网络中运行,因此我们不担心
keytool命令的import和-importcert有什么区别
我被告知使用 keytool 命令将证书(.crt 格式)添加到密钥库文件中。这里需要使用什么选项,import还是-importcert。每一个什么时候使用?
最佳实践建议我存储经过哈希处理和加盐处理的密码。我已经知道了。我的问题是:如何提供清晰且安全的机制来检查密码(其哈希值)? 我们有一个 CLI 客户端...
在我的程序中,我使用保存在“C:”中的文本文件。 在某些计算机上,由于安全问题,程序无法保存到“c:”。 我怎样才能做到这一点,以便我可以读取/写入/保存我的文件到'...