与应用程序安全性和软件攻击相关的主题。请不要单独使用此标记,这会导致歧义。如果您的问题与特定编程问题无关,请考虑在Information Security SE上询问:https://security.stackexchange.com
在C#语言中,我的目的是使用hash_password()对密码进行哈希处理,然后使用verify()方法对其进行验证。我对密码“s3cr3t”进行哈希和盐处理,然后检查两个示例,如果通过则返回 true...
我有兴趣了解更多有关网络安全的信息,因为我是该行业的新手。也许这些信息让我对社区发展有了一个大概的了解。 我询问了最近的进展...
我正在编写一些需要发送电子邮件的linux代码。我的问题是: 当我使用 STARTTLS(在 msmtprc 中启用 starttls)时,使用普通身份验证(auth plain)是否安全?有连接吗...
公共 AuthenticationResponse 验证(AuthenticationRequest 请求){ 身份验证管理器. 身份验证( 新的用户名密码验证令牌( 请求.getEmail...
我是一名网络安全学生,我正在做一个练习,其中我必须通过缓冲区溢出访问 vip_queue 函数而不更改 check 的值。我已经尝试了几个小时了...
这有什么问题吗? for (对象 obj : java.security.Security.getAlgorithms("Cipher")) { System.out.println(obj); } javax.crypto.SecretKeyFactory.getInstance("AES"); 这是输出(JDK ...
我正在使用 jbcrypt 对项目中的密码进行哈希处理。在我使用的硬件上验证密码时,性能约为 500 毫秒(log_rounds 设置为 12)。 然而,定期使用一段时间后
PKCS11中的机制是什么意思?例如:CKM_RSA_PKCS。 机制(CKM_RSA_PKCS)和签名算法(NoneWithRSA)有什么区别?
我正在使用 Spring boot 应用程序,并且需要通过禁用网页之间的缓存来启用安全性。 据我了解,默认情况下,Spring Security 设置特定的缓存-
我在设置 Security Onion 时遇到无法确定管理 IP 的问题。错误消息建议检查 vroot/sosetup.log 处的日志并验证网络
我知道密码应该在后端进行哈希/加盐处理,并且应该使用 HTTPS 进行传输。我担心的是,在帐户注册时,有一段代码是纯文本传递的......
Terraform 中的 AWS SecurityLake 汇总区域
在 https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/securitylake_data_lake 上的示例用法中 ,以下区域设置为“eu-west-1”。文档...
我正在寻找一种防止 CSRF 攻击的方法,但对如何将 CSRF 令牌传递给客户端感到困惑。我想避免将令牌插入到 HTML 中,因为我想最大限度地减少 SE...
为 OPC UA python 服务器/客户端(Asyncua)添加安全性
我是 OPC UA 和 Python 的新手,但通过 asyncua 示例,我创建了实际项目所需的示例。现在我需要为服务器和客户端添加安全性,现在使用用户名......
如果 user_info 为 None: 返回无 Correct_password = user_info["pw_bcrypt"].encode() 如果 state.cache.bcrypt 中有正确的密码: 如果要检查的密码!= state.cache.bcrypt[
我是 Flutter 新手,需要一些建议。 我正在开发一个移动应用程序,我需要将一些敏感的用户信息保存到数据库中。我正在使用加密库(https://pub.dev/packages/encrypt)...
我尝试在 hackthebox 的哈希上使用 hashcat 和规则,每次都会得到 Exhausted 的输出
哈希值是 SHA1 哈希值,我需要将 2020 附加到每个密码的末尾: Rule.txt 文件输入为:“$2 $0 $2 $0” 命令: hashcat -a 0 -m 100 hash.txt /opt/useful/SecLists/
打开特定 Android 应用程序的 ACTION_USAGE_ACCESS_SETTINGS 屏幕
我想要为我的应用程序储物柜 Android 应用程序提供 ACTION_USAGE_ACCESS_SETTINGS,无需 2 步骤导航。我的意思是我可以在后台获取它,例如媒体权限或直接访问我的应用程序
在微服务中实现日志记录功能后,我通过 SonarQube 代码检查发送了代码。 SonarQube 不断警告我有关记录器的安全问题。我尝试了几件事...
无法解决React网站中的点击劫持问题。 我已经在 clickjacking.io 中对此进行了测试。 框架破坏 如果(自我!==顶部){ 顶部.位置=自我.位置; ...</desc> <question vote="0"> <p>无法解决React网站中的点击劫持问题。 我已经在 clickjacking.io 中对此进行了测试。</p> <ol> <li>破坏框架</li> </ol> <pre><code> <script> if (self !== top) { top.location = self.location; } </script> </code></pre> <ol> <li>安全标头</li> </ol> <pre><code><meta http-equiv="X-Frame-Options" content="SAMEORIGIN" /> <meta http-equiv="Content-Security-Policy" content="frame-ancestors 'self' https://admin.nutrition.huskwellness.com" /> </code></pre> <ol> <li>服务器端使用的头盔</li> </ol> <pre><code>app.use( helmet.contentSecurityPolicy({ directives: { defaultSrc: ["'self'"], styleSrc: ["'self'", "'unsafe-inline'"], scriptSrc: ["'self'", "'unsafe-inline'"], }, }) ); app.use(helmet.frameguard({ action: "deny" })); app.use(helmet.xssFilter()); app.use(helmet.noSniff()); app.use(helmet.referrerPolicy({ policy: "same-origin" })); app.use(helmet.permittedCrossDomainPolicies()) </code></pre> <p>尝试过这种方法,但网站仍然可以在 iframe 中构建。</p> </question> <answer tick="false" vote="0"> <p>您可以尝试以下组合:</p> <ol> <li>Frame Busting:使用 JavaScript 代码阻止网站在 iframe 中加载,从而阻止覆盖恶意内容的尝试。</li> <li>X-Frame-Options 标头:发送 HTTP 标头以指示浏览器拒绝网站的框架,防止其嵌入其他域的 iframe 中。</li> <li>内容安全策略 (CSP):实施 CSP 来限制允许嵌入网站的域,从而降低点击劫持的风险。</li> </ol> </answer> </body></html>