security 相关问题

与应用程序安全性和软件攻击相关的主题。请不要单独使用此标记,这会导致歧义。如果您的问题与特定编程问题无关,请考虑在Information Security SE上询问:https://security.stackexchange.com

使用 JavaScript 连接到 Access 数据库,而站点访问者无法对其进行写入

小公司,资金有限,我们将把服务器从 Windows 7 Pro 升级到 Windows Server 2016。该网站一直使用连接到 Access (mdb) 数据库的经典 ASP,我的理解...

javascript asp.net ms-access security
回答 1 投票 0

Django LogoutView 不起作用。如何使用基于类的默认函数解决这个问题?

我想使用 django 内置 LogoutView 库,但它不起作用。当我使用它时,它显示“此页面无法正常工作” 注销功能应该可以运行并注销用户。 下面是...

django authentication security django-views django-urls
回答 1 投票 0

java - 不可信数据反序列化解决方法

去年我们遇到了所谓的java对象反序列化漏洞(看起来不是java的问题),该漏洞是反序列化一个对象,可能导致远程代码执行(RCE)...

java security serialization deserialization
回答 1 投票 0

动态解析降价

我想在我的论坛上实施 Markdown。 我研究了许多可能的方法,我将如何做到这一点,这就是我的想法: 一个简单的方法将涉及客户端的 pagedown 和 php-mark...

javascript php security markdown pagedown
回答 4 投票 0

NestJS 将 HTTP 重定向到 HTTPS / 强制 SSL

构建 NestJS 应用程序 我想通过 https 路由所有传入流量,而不会给用户带来不便。 目前我知道的有两种方式,都不符合我的要求。 设置两个

typescript security https nestjs
回答 3 投票 0

保护 API 免受重放攻击

我正在开发一个API。该 API 将由 iPhone 应用程序使用。 该API需要登录。我们使用 asp.net 表单身份验证来保护它。客户端获取一个 cookie 以根据即将到来的请求重新发送...

ios security api-design
回答 3 投票 0

保护 Flask 应用程序(Python)

我正在尝试学习编写 Flask 应用程序,特别是如何保护它们。我已经使用“http 基本身份验证”成功实现了登录,但我发现所有

python web-services security https flask
回答 2 投票 0

如何在python脚本中读取并获取ini文件中存储的值?

导入配置解析器 配置= configparser.ConfigParser() config.read(r'C:\Users\PycharmProjects\Integration\local.ini') 打印(配置.sections()) 不知道之后该做什么。我试过这个...

python python-3.x security configparser
回答 3 投票 0

IIS/ASP.NET 的所有用户帐户是什么以及它们有何不同?

在安装了 ASP.NET 4.0 的 Windows Server 2008 下,有一大堆相关的用户帐户,我无法理解哪个是哪个,它们有何不同,以及哪个是真正的...

asp.net security iis user-accounts
回答 1 投票 0

有没有办法检查用户是否具有特定权限?

在我的应用程序中,我使用 ntrights.exe(Windows 资源工具包的一部分)来授予和撤销特定用户权限。 例如,要授予用户“作为服务器登录”权限,我使用 s...

.net windows security rights
回答 4 投票 0

Oracle SP Checkmarx SAST 扫描显示参数篡改

SP 接受密钥并返回标志状态。在 Checkmarx SAST 扫描键中,表示参数在用于查询之前未经过验证。请帮助了解可以添加哪些验证,以便它

oracle security plsql sql-injection tampering
回答 1 投票 0

如何修复ASP.NET中的验证码漏洞错误

我们在旧版本中使用验证码(重新验证码),这是我们的 ASPX 页面之一中的验证码,该页面在 Synec, Inc 服务的帮助下进行用户注册 我们在旧版本中使用验证码(重新验证码),这是我们的 ASPX 页面之一中的验证码,该页面在 Synec, Inc 服务的帮助下进行用户注册 <div class="col-sm-4 form-group"> <div class="g-recaptcha" data-sitekey="6Ld6ALQUAAAAAAW2GDkJiP9xKrfTvyEVDtYBO-kp"></div> </div> 漏洞报告指出存在以下问题 扫描过程中发现。 该应用程序正在实施弱验证码方案,允许使用验证码提交。 此验证码位于网站的注册提交功能中,并非一次性使用。 影响 缺乏适当的实施违背了网站验证码方案的目的,允许后续请求的自动化 使用相同的验证码值。 这可能会导致:恶意用户向服务器发送多个请求,并造成浪费的资源/工时 组织。 具体来说,因为这是在注册提交中 建议修复 建议实施更强大的验证码 方案,例如 Google reCAPTCHA。 在“if and else”子句中实现正确的逻辑,这可以区分有效答案和无效答案。 在服务器端验证验证码,不允许多次重复使用 为了重现验证码问题,使用了 Burp Intercept 工具,但我无法在我的机器上使用该工具 我有点卡住了,不知道该往哪个方向走,因为特别是因为我们不能使用 Burp Intercept。 有人可以帮助找到解决此漏洞的正确方向吗? 这对我有用 protected bool Validate() { string Response = Request["g-recaptcha-response"];//Getting Response String Append to Post Method if ((txtUsername.Text != (Session["PreviousLoginUsername"] ?? string.Empty).ToString() || txtPassword.Text != (Session["PreviousLoginPassword"] ?? string.Empty).ToString()) && (Response == (Session["PreviousLoginCaptcha"] ?? string.Empty).ToString())) { return false; } bool Valid = false; //Request to Google Server HttpWebRequest req = (HttpWebRequest)WebRequest.Create (" https://www.google.com/recaptcha/api/siteverify?secret=6Ld6ALQUAAAAAIVP2u4dTDCnSFG5Yxa8bG8P9rFm&response=" + Response); try { //Google recaptcha Response using (WebResponse wResponse = req.GetResponse()) { using (StreamReader readStream = new StreamReader(wResponse.GetResponseStream())) { string jsonResponse = readStream.ReadToEnd(); JavaScriptSerializer js = new JavaScriptSerializer(); MyObject data = js.Deserialize<MyObject>(jsonResponse);// Deserialize Json Valid = Convert.ToBoolean(data.success); } } if (Valid) { Session["PreviousLoginCaptcha"] = Response; Session["PreviousLoginUsername"] = txtUsername.Text; Session["PreviousLoginPassword"] = txtPassword.Text; } return Valid; } catch (WebException ex) { throw ex; } }

c# asp.net security recaptcha captcha
回答 1 投票 0

网站联系表中的可疑数据

我有一个 IIS 托管网站,该网站从联系表单中获取大量可疑数据。我所说的可疑是指有人的姓名、地址和电话号码...

security web bots
回答 1 投票 0

AMQ229031:无法验证来自 /172.18.0.1:53864 的用户。用户名:管理员; SSL 证书主题 DN:不可用

我正在尝试使用 ActiveMQ Artemis (例如 artemis1)创建一个队列,并使用 Spring Boot 向其发送消息。我正在运行 ActiveMQ Aartemis 的 Docker 实例,但是一旦我发送消息...

spring-boot authentication security activemq-artemis
回答 1 投票 0

如果AWS文件上传访问控制列表(ACL)不是“公共读取”,我如何从客户端(React/Nextjs)读取它

我需要在没有公共读取访问权限的情况下上传一些私有文件,但我还想在受保护的路由中从我的客户端(Reactjs/Nextjs)查看该文件(使用 URL)。我怎样才能实现这个目标...

security amazon-s3 next.js file-upload acl
回答 1 投票 0

内容安全政策 - 外部联属网络营销链接 + Google Adsense

我目前正在开发一个网站/博客项目,仅使用 HTML、CSS 和 JavaScript。 我还使用 Google Adsense(内嵌广告 + 让 Google 自动放置广告)和附属链接(来自 1

javascript html security content-security-policy
回答 1 投票 0

拒绝应用内联样式,因为它违反了以下内容安全策略,但我的应用程序中没有内联样式

我想在我的投资组合中添加 csp,并且我已经删除了所有内联样式,但我仍然收到 csp 错误。我正在使用在我的 main.css 文件中解析的 scss,并且我正在导入此 main.css fi...

html css security content-security-policy
回答 1 投票 0

为什么当url中有分号时nginx不拒绝请求?

我有一个nginx.conf如下: 服务器 { 监听 443 ssl; # 其他一些 ssl 配置 服务器名称 home.aaa.com; # 一些 access_log 和 error_log 配置 位置/执行器/ {

security nginx url reverse-proxy directory-traversal
回答 1 投票 0

如何将 API 设为私有(即只能从前端访问,人们无法编写自己的 python 脚本/postman api 调用(

现在我正在使用 JWT 构建一个 React Next.js Web 应用程序进行身份验证,但我不确定如何使某些 API 调用只能从前端访问。我仅使用 HTTP 将 JWT 存储在 cookie 中...

security next.js cookies jwt
回答 1 投票 0

解决 php 中跨站脚本(XSS)的最佳方法/实践?

我有一个 php 网页,它使用 URL 参数来设置一个变量,然后该变量显示在该页面中。 网址:webaddress.com/page.php?id=someCity 我们获取 $_GET['id'] 并将其指定为变量...

php security xss
回答 5 投票 0
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.