与应用程序安全性和软件攻击相关的主题。请不要单独使用此标记,这会导致歧义。如果您的问题与特定编程问题无关,请考虑在Information Security SE上询问:https://security.stackexchange.com
我的目标:获取纯文本密码并生成可用于 Fernet 加密的 32 字节令牌。 到目前为止我尝试过的: >>> 从 cryptography.fernet 导入 Fernet >>> 小鬼...
在我的项目中,我使用 androidx.security:security-crypto-ktx 库来实现 EncryptedSharedPreference。现在我必须使用 com.google.crypto.tink:apps- paymentmethodtoken 库。 当我尝试...
SonarCloud 如何修复更改此代码以不从用户控制的数据构造路径
获取声纳警告 更改此代码以不从用户控制的数据构造路径。 I/O 函数调用不应容易受到路径注入攻击 [javasecurity:S2083] 代码 公共静态...
在这个网站上,它说: 请注意,对于签名令牌,此信息尽管受到保护 防止篡改,任何人都可读。不要把秘密 有效负载或标头元素中的信息...
使用变量位置的 file_get_contents() 的安全漏洞
我的网站申请流程的一部分是用户必须证明网站的所有权。我很快就拼凑了一些代码,但直到现在才意识到可能存在一些漏洞......
我计划将 Groovy 脚本引擎集成到我的游戏中,这样它将为游戏提供良好的可修改性,但是如何防止玩家编写邪恶的脚本,例如删除 C: 驱动器上的所有文件? 格...
为了执行 SSL 证书验证,我将回调分配给 System.Net.ServicePointManager.ServerCertificateValidationCallback,然后我尝试自行构建 X.509 链...
我目前正在 cpanel 中以调试模式 true 运行 laravel 脚本。如果有人可以读取我的 .env 文件,他们有什么办法吗?因为它已经掌握了所有细节 我希望隐藏该 env 文件,以防万一
NetCore 中的 IdentityServer4,重启时令牌丢失
我面临 IdentityServer4 的问题。每当我重新启动服务器时,令牌就会从内存中删除,用户必须重新识别自己的身份。 我需要这些令牌来坚持而不是得到......
我使用 cookie_store 来存储我的用户会话: Rails.application.config.session_store :cookie_store, key: '_session', expire_after: 1.month 我相信这会按照图书馆的说法执行...但是...
我正在 Rust 上编写自己的 TOTP 实现,但我无法使用给定的秘密获得正确的 2FA 代码。 使用 std::{process::exit, time::{SystemTime, UNIX_EPOCH}}; 使用 sha1::{Sha1, 摘要}; fn hmac(键...
我们的用户可以根据表单字段进行数学计算。为了评估计算,我使用 expr-eval 作为 javascript(客户端)的表达式评估器(https://github.com/silentmat...
如何在.net API和SPA解决方案中使用cookie作为身份验证来进行Anti-CSRF?
我有一个 .NET API 和 React SPA 托管在同一域(api.domain.com 和 app.domain.com)上。 我使用 same-site=strict、secure 和 httponly cookie 来进行从 SPA 到 API 的通信。我...
DPAPI提供了对任意数据进行加密和解密的功能。 DPAPI提供的功能包括CryptProtectMemory、CryptUnprotectMemory、CryptProtectData和CryptUnprotectData。我是...
我做了许多涉及自动提交表单和/或从网站检索数据的项目。其中一些网站需要用户名/密码身份验证。 (这些网站没有AP...
我正在使用node.js的WS websocket库。目前我正在运行 ws 服务器。现在我想通过使用安全连接来保护此连接,即通过实现 wss 协议和库支持...
我可以使用 CSP 来限制对 https: 和“self”的请求吗?
我最初在我的 CSP 标头中包含此内容:default-src 'self';,它将源限制为仅限我的域,但它没有提及方案/协议。据我所知,这将使来源...
在 ZAP 中创建动态证书的选项不可用。我正在本地计算机上运行它,请在此处输入图像描述。 有谁知道是否被删除了?如果没有,我在哪里/如何...
我将我的 github 项目添加到 snyk.io 门户以检查漏洞。遗憾的是,snyk 只检查以 .json、.yml、.txt 等结尾的文件。它不检查 typescript、js 等中的漏洞...
如何停止和恢复受保护的触发Windows服务AppIDSvc(AppLocker)
目标是通过暂时停止AppIDSvc(应用程序身份)Windows服务然后恢复其执行来控制AppLocker。该动作应该从内部执行