Als «security» getaggte Fragen

Themen zur Anwendungssicherheit und zu Angriffen auf Software. Bitte verwenden Sie dieses Tag nicht alleine, da dies zu Mehrdeutigkeiten führt. Wenn sich Ihre Frage nicht auf ein bestimmtes Programmierproblem bezieht, wenden Sie sich bitte an Information Security SE: https://security.stackexchange.com

10
Wie aktiviere ich den DDoS-Schutz?
DDoS (Distributed Denial of Service Attacks) werden im Allgemeinen auf Serverebene blockiert, oder? Gibt es eine Möglichkeit, es auf PHP-Ebene zu blockieren oder zumindest zu reduzieren? Wenn nicht, was ist der schnellste und häufigste Weg, um DDoS-Angriffe zu stoppen?
3
Warum gibt es für WebSockets keine Richtlinie mit demselben Ursprung? Warum kann ich eine Verbindung zu ws: // localhost herstellen?
Ich möchte WebSockets für die prozessübergreifende Kommunikation für meine Anwendung verwenden (Daemon <-> WebGUI und Daemon <-> FatClient usw.). Während des Tests habe ich versucht, über den JavaScript-WebSocket-Client auf websocket.org ( http://www.websocket.org/echo.html ) eine Verbindung zu meinem lokal ausgeführten Web-Socket-Server (ws: // localhost: 1234) herzustellen . Meine Frage ist jetzt: …
5
Sind JSON-Webdienste anfällig für CSRF-Angriffe?
Ich erstelle einen Webdienst, der ausschließlich JSON für seine Anforderungs- und Antwortinhalte verwendet (dh keine formularcodierten Nutzdaten). Ist ein Webdienst für CSRF-Angriffe anfällig, wenn Folgendes zutrifft? Jede POSTAnfrage ohne ein JSON-Objekt der obersten Ebene, z. B., {"foo":"bar"}wird mit einer 400 abgelehnt. Beispielsweise würde eine POSTAnfrage mit dem Inhalt 42somit abgelehnt. …
82 http  security  csrf 
7
Wie implementiere ich das Zurücksetzen von Passwörtern?
Ich arbeite an einer Anwendung in ASP.NET und habe mich speziell gefragt, wie ich eine Password ResetFunktion implementieren könnte, wenn ich meine eigene rollen möchte. Insbesondere habe ich folgende Fragen: Was ist ein guter Weg, um eine eindeutige ID zu generieren, die schwer zu knacken ist? Sollte ein Timer daran …
9
Bereinigen / Umschreiben von HTML auf der Clientseite
Ich muss externe Ressourcen anzeigen, die über domänenübergreifende Anforderungen geladen wurden, und sicherstellen, dass nur " sichere " Inhalte angezeigt werden. Könnte Prototypen verwenden String # stripScripts verwenden , um Skriptblöcke zu entfernen. Aber Handler wie onclickoder onerrorsind immer noch da. Gibt es eine Bibliothek, die das zumindest kann? Strip-Skriptblöcke, …
4
Welches Risiko besteht bei der Bereitstellung von Debug-Symbolen (PDF-Datei) in einer Produktionsumgebung?
Ich habe eine Anwendung, die Ausnahme-Strack-Traces protokolliert, und ich wollte, dass diese Stack-Traces bei der Bereitstellung in der Produktion Dateinamen und Zeilennummern enthalten. Ich habe herausgefunden, wie die Debug-Symbole mit der Assembly bereitgestellt werden, aber bei der Untersuchung des Problems bin ich auf diese Frage gestoßen , was impliziert, dass …
4
Autorisierungsansätze und Entwurfsmuster für Node.js-Anwendungen [geschlossen]
Geschlossen . Diese Frage muss fokussierter sein . Derzeit werden keine Antworten akzeptiert. Möchten Sie diese Frage verbessern? Aktualisieren Sie die Frage so, dass sie sich nur auf ein Problem konzentriert, indem Sie diesen Beitrag bearbeiten . Geschlossen vor 2 Jahren . Verbessere diese Frage Ich erstelle eine mehrseitige Administrationsoberfläche …
2
So werden Sie SAML-Dienstleister
Mein Unternehmen entwickelt derzeit eine Java-Webanwendung. Einige unserer Kunden haben interne SAML-Server (Identitätsanbieter?) Und haben darum gebeten, dass wir uns in sie integrieren. Vor kurzem habe ich darüber gelesen und mit OpenAM herumgespielt. Nach ungefähr 3 Tagen habe ich ein allgemeines Verständnis davon, aber es gibt immer noch einige Lücken …
3
Gilt die Verwendung von "badidea" oder "thisisunsafe" zum Umgehen eines Chrome-Zertifikats / HSTS-Fehlers nur für die aktuelle Site? [geschlossen]
Geschlossen. Diese Frage entspricht nicht den Richtlinien für Stapelüberlauf . Derzeit werden keine Antworten akzeptiert. Möchten Sie diese Frage verbessern? Aktualisieren Sie die Frage so dass es beim Thema für Stack - Überlauf. Geschlossen vor 2 Jahren . Verbessere diese Frage Manchmal und besonders oft, wenn Sie eine Webanwendung entwickeln, …
7
Warum werden strlcpy und strlcat als unsicher angesehen?
Ich verstehe das strlcpyund strlcatwurde als sicherer Ersatz für strncpyund konzipiert strncat. Einige Menschen sind jedoch immer noch der Meinung, dass sie unsicher sind und einfach eine andere Art von Problem verursachen . Kann jemand ein Beispiel geben, wie die Verwendung von strlcpyoder strlcat(dh einer Funktion, deren Zeichenfolgen immer null …
79 c  security  strncpy  strlcpy 
6
Umgang mit Passwörtern, die für die Authentifizierung im Quellcode verwendet werden
Angenommen, ich versuche, von einer RESTful-API zu ziehen, die Basisauthentifizierung / Basiszertifikate verwendet. Was wäre der beste Weg, um diesen Benutzernamen und dieses Kennwort in meinem Programm zu speichern? Im Moment sitzt es nur im Klartext da. UsernamePasswordCredentials creds = new UsernamePasswordCredentials("myName@myserver","myPassword1234"); Gibt es eine sicherheitsorientiertere Möglichkeit? Vielen Dank
4
Node.js + Express.js Sicherheitsmodell für Benutzerberechtigungen
Wir haben eine Anwendung, die zwei Arten von Benutzern hat. Abhängig davon, wie sich der Benutzer anmeldet, möchten wir, dass er Zugriff auf verschiedene Teile der Anwendung hat. Wie implementieren wir ein Sicherheitsmodell, um zu verhindern, dass Benutzer Dinge sehen, auf die sie keinen Zugriff haben? Machen wir die Sicherheit …
6
Wie kann CSRF in einer RESTful-Anwendung verhindert werden?
Cross Site Request Forgery (CSRF) wird normalerweise mit einer der folgenden Methoden verhindert: Referer prüfen - RESTful aber unzuverlässig Token in Formular einfügen und Token in der Serversitzung speichern - nicht wirklich RESTful kryptische einmalige URIs - aus dem gleichen Grund wie Token nicht RESTful Kennwort manuell für diese Anforderung …
1
Wie werden SSL-Zertifikatservernamen aufgelöst / Kann ich mithilfe von Keytool alternative Namen hinzufügen?
Diese können aus Gründen der Klarheit als separate Fragen formuliert werden, beziehen sich jedoch alle auf dasselbe Thema. Wie werden SSL-Zertifikatservernamen aufgelöst? Warum scheinen Browser das CN-Feld des Zertifikats zu verwenden, aber der Java-Mechanismus scheint nur "alternative Betreffnamen" zu betrachten? Ist es möglich, mit keytool alternative Namen zu einem SSL-Zertifikat …
78 java  security  ssl 
2
Wann ist es sicher, CORS zu aktivieren?
Ich entwickle eine JSON / REST-Web-API, für die ich speziell möchte, dass Websites von Drittanbietern meinen Dienst über AJAX aufrufen können. Daher sendet mein Dienst den berühmten CORS-Header: Access-Control-Allow-Origin: * Dadurch können Websites von Drittanbietern meinen Dienst über AJAX aufrufen. Alles in Ordnung soweit. Ein Unterabschnitt meiner Web-API ist jedoch …
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.