与应用程序安全性和软件攻击相关的主题。请不要单独使用此标记,这会导致歧义。如果您的问题与特定编程问题无关,请考虑在Information Security SE上询问:https://security.stackexchange.com
我一直在阅读很多关于会话固定攻击的内容,我遇到的最流行的解决方案是在用户登录并使用GUID创建额外的cookie时更改SessionID ...
使用JWT或OAuthv2保护REST + AngularJS
我是REST安全的新手,我正在尝试构建一个AngularJS(Angular 1)应用程序,该应用程序将RESTful Web服务作为其后端集成。这个网络服务将是应用程序(前端)...
如何在我的项目中使用Amazon Web服务凭据(Access键)? AWS文档使用Access密钥的最佳实践
我们希望通过API调用,CLI等,从我们的内部部署基础架构以及AWS云基础架构使用AWS服务。我们知道,我们可以使用AWS访问密钥如下:这是...
使用java api和epass2003令牌的pdf数字签名
我尝试使用java api向pdf添加数字签名,并通过epass2003令牌读取签名。所以,在这里我完成了这项工作(将数字签名添加到pdf),它的工作正常,但是当我打开...
我发现的最流行的例子(以及JWT-Auth库中的代码)提供了通过黑名单使JWT无效的机制。如果令牌需要失效,则会将其添加到...
我正在为Android和ios创建一个应用程序,我已经知道理论上可以反编译一个Android应用程序。该应用程序包含我不希望用户访问的敏感信息...
与通过HTML更高效地连接Power BI和Exact Online
我使用https://data-access-point.com上的数据访问点使用Microsoft Power BI和Exact Online,使用select * from exactonlinexml..aroutstandingitems等查询。但是,URL必须......
使用OAuth协议时,您需要从要委派的服务获取的秘密字符串。如果您在Web应用程序中执行此操作,则只需将秘密存储在数据库中或...
我们有以下场景:用户可以放置密码的MVVM用户界面(实际上是一个PasswordBox)服务器应该做一些工作服务器连接到一些需要的数据库...
在asp.net web api中,当您想要保护动作或REST端点时,您可以使用身份验证,例如基于令牌的解决方案。但是,如果有api的移动应用程序客户端,这会有注册...
在MariaDB中存储密码/登录路径(相当于mysql-config-editor)?
我们目前使用MySQL 5.7并通过mysql-config-editor存储密码。它将登录路径存储在加密文件.mylogin.cnf中。 MariaDB不支持此功能(并考虑它...
SSL / TLS证书|创建跨平台的csr / cer文件?
我想知道在Linux上创建一个csr文件是否有意义,然后在linux上再次创建关联的pkcs12文件,然后在Windows平台上使用它?是不是......
如果黑客设法获取我的会话令牌。那么这是否意味着我的帐户可能会遭到入侵?
Web应用程序通过cookie管理和识别它的客户端。会话维护也基于cookie。如果攻击者设法读取我的cookie(显然他可以通过数据包嗅探)然后可以......
假设我想使用JWT进行身份验证,对于直接使用我的应用程序API的用户,我想发出一个不会过期的令牌(但确实包含一个ID,以便...
假设我有移动应用程序和服务器通过TLS加密的gRPC API(或任何HTTP TLS API)进行通信。我希望服务器检查客户端证书作为额外的保护层(...
我正在开发一个App,其中包含一个可以通过android.intent.action.CHOOSER和android.intent.action.SEND动作调用的Activity。当我通过Chrome与此网站共享网站时,...
我一直在深入挖掘OAuth2 / OpenID Connect(OIDC),并且在很多方面我感觉更聪明,但在很多方面,我担心一个简单的错误会让我变得脆弱。我正在建立超级标准......
我正在编写一个相对较小的bash脚本,它应该更新NAT后面的服务器的DNS记录,这可能会改变其外部IP地址。基本上是使用我的DNS提供商的免费DynDNS'......
所以我(可能不正确)理解SSL握手是如何工作的:客户端发送一个(可能是未加密的,因为客户端没有加密信息)请求到服务器,...
我的(基于Perl的)应用程序需要让用户输入正则表达式,以匹配幕后的各种字符串。到目前为止,我的计划是把字符串包起来并用$ regex = ...