与应用程序安全性和软件攻击相关的主题。请不要单独使用此标记,这会导致歧义。如果您的问题与特定编程问题无关,请考虑在Information Security SE上询问:https://security.stackexchange.com
最近我在一个图书馆工作,该图书馆支持使用工人来完成一些繁重的工作。 我发现,至少在大多数在线代码编辑器(snippets/jsfiddle/codepen/glitch)上我似乎无法加载...
如果我在网站上按Ctrl+S并将其下载到我的桌面,然后在Firefox中打开它,它会访问我的桌面文件或安装恶意软件吗?
我将一个信誉不佳的网站下载到我的桌面上,作为抓取该网站上图像的一种方式。我尝试打开 HTML,然后我记得听说在浏览器中打开本地文件是不同的......
几天前,我通过 burp suite 扫描程序使用 nslookup xxx.burpcolaborator.com 漏洞在感兴趣的网站中发现了一个漏洞,具有以下功能 问题:操作系统命令注入 严重程度:
我是一名网络安全专业的学生,最近我被分配了一个项目,制作一个功能齐全的防火墙性能基准测试工具,作为一名新生,我不知道从哪里开始或我的路......
如何在 Windows 上通过代理设置 `pip`,而无需明文密码?
如何在 VPN 代理后面的 Windows 计算机上设置 pip? 我见过 3-4 个不同的选项,例如: 设置 http_proxy 和 https_proxy 环境变量 创建 pip.ini 文件 使用 CNTLM pro...
我已经使用 PHP hash_pbkdf2 函数加密了字符串。请查看以下代码: $密码=“密码”; $迭代次数= 10000; $盐= 1111; $hash = hash_pbkdf2("sha256"...
我们有多个跨多个子域的Web应用程序,app1.company.com,app2.company.com..此外,我们有多个环境,prod,staging,dev1,dev2 每个环境都有...
最近对我的项目进行的一次扫描发现了 SSRF 漏洞。 这是消息; Web 服务器从上游组件接收 URL 或类似请求并检索...
假设我构建了一个网站并让它在 localhost:8080 上运行。您可能会认为这会导致网络无法访问。正确的?然而,当我浏览网页时,是否有可能做...
我在 Telescope (Laravel) 中看到大量请求试图获取“.env”文件。 我想阻止任何请求此资源的IP,例如: 我想阻止任何请求 http://example.com/... 的 IP...
Android Q 上“android:useEmbeddedDex”的用途
从这里(https://developer.android.com/preview/features#embedded-dex),您可以看到Android引入了一项新功能,允许使用嵌入式直接从APK中运行代码。 .
使用 Rust 或 CLI 工具进行暴力破解应用程序的密码生成器
我正在开发一个分布式应用程序,以使用暴力和其他技术来发现密码。 对于暴力破解部分,我需要一个 Rust 密码生成器库或命令行...
PowerShell:将 AAD 安全组添加到 SharePoint Online 网站集
我正在努力寻找一种将 AAD 安全组添加为 SPO 网站集中的域组的方法,例如:贡献权。 想要跳过所有默认的 SharePoint 安全组。 使用UI,看起来很完美...
filesystem.py 无法读取,即使该文件存在并且我的用户拥有该文件的所有权限(sqlmap)
我目前正在尝试测试我最近在 Apache Linux 2023 上托管的网站的安全性。通过此我尝试进行 SQLi 测试,并尝试使用 SQLMAP 工具进行暴力破解
最近 github 给我发了一条 picrel 通知,说我的密码在其他网站上很常用,为了我自己的安全着想,我应该尽快更改它。如果没有,他们会为我重新设置...
我正在研究 POC,以创建流程图以保护外部用户的受保护数据。我们计划在市场上开展工作,外部用户将通过外部应用程序登录并与...
所以基本上,我在 html 中使用 Google Button 登录,我需要以下代码: ` data-client_id=此处的令牌” 数据回调=“processResponse” 数据-c...
我有一个使用 React/Node 实现的前端,它使用整体后端。 如今,该后端使用 Spring security 来提供用户登录和身份验证。一旦用户通过身份验证,...
我正在尝试使用添加 Google 登录资源在我的网络应用程序中设置 google 登录 我将以下代码添加到相关的html文件中 <question vote="2"> <p>我正在尝试使用 <a href="https://developers.google.com/identity/gsi/web/guides/display-button?authuser=2" rel="nofollow noreferrer">添加 Google 登录资源</a></p> 在我的网络应用程序中设置 google 登录 <p>我将以下代码添加到相关的html文件中</p> <pre><code><html> <body> <script src="https://accounts.google.com/gsi/client" async defer></script> <div id="g_id_onload" data-client_id="YOUR_GOOGLE_CLIENT_ID" data-login_uri="https://your.domain/your_login_endpoint" data-auto_prompt="false"> </div> <div class="g_id_signin" data-type="standard" data-size="large" data-theme="outline" data-text="sign_in_with" data-shape="rectangular" data-logo_alignment="left"> </div> </body> </html> </code></pre> <p>当我尝试在浏览器中查看网络应用程序的页面时。我没有看到谷歌登录按钮,当我检查页面时,我看到以下两个错误</p> <pre><code>Content Security Policy: The page’s settings blocked the loading of a resource at https://accounts.google.com/gsi/client (“script-src”). </code></pre> <pre><code>Content Security Policy: The page’s settings blocked the loading of a resource at http://localhost:3000/mini-profiler-resources/includes.js?v=35a79b300ab5afa978cb59af0b05e059 (“script-src”). </code></pre> <p>我尝试查看内容安全策略上的资源来解决此问题,发现添加源允许列表就是解决方案。请参阅<a href="https://developers.google.com/web/fundamentals/security/csp" rel="nofollow noreferrer">此资源</a>,了解我在哪里找到此解决方案。具体在哪里添加此允许列表?我应该添加什么具体代码?如果我走错了方向,请向我指出有助于解决此问题的资源或说明。</p> <p>我的开发环境是ubuntu 20.04,我使用的浏览器是Mozilla Firefox。实际上,我正在构建我的第一个 Ruby on Rails 应用程序。</p> <p>感谢您的时间和精力。</p> </question> <answer tick="false" vote="2"> <p>内容安全策略是 Web 应用程序安全的附加层,大多数现代 Web 浏览器都支持它。它的主要目标是减轻对现代 Web 应用程序的各种客户端攻击(请查看此文档以获取更多信息:<a href="https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP" rel="nofollow noreferrer">https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP</a>) .</p> <p>有两种方法可以在您的应用程序中包含内容安全策略。首先是服务器浏览器中包含的 HTTP 标头。假设您使用 Ruby on Rails,可能有几种方法可以设置此标头。</p> <p>您可以在代码级别配置CSP。您必须修改文件:<em>config/initializers/csp.rb</em>:</p> <pre><code>SecureHeaders::Configuration.default do |config| config.csp = { default_src: %w('self'), # self-hosted resources allowed by default script_src: %w(https://accounts.google.com), #here you have to include origins of all of your scripts connect_src: %w('self'), img_src: %w('self'), font_src: %w('self'), base_uri: %w('self'), style_src: %w('unsafe-inline'), form_action: %w('self'), report_uri: %w(/mgmt/csp_reports) } end </code></pre> <p>我不是 Ruby 开发人员,因此我建议使用该资源来获取更多信息:<a href="https://bauland42.com/ruby-on-rails-content-security-policy-csp/" rel="nofollow noreferrer">https://bauland42.com/ruby-on-rails-content-security-policy-csp/</a></p> <p>您还可以使用以下元标记在 HTML 级别设置 CSP:</p> <pre><code><meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src https://accounts.google.com; child-src 'none'; object-src 'none'"> </code></pre> <p>另一种方法是在 Web 服务器级别设置 CSP 标头。例如,在 nginx 中,您可以这样设置(在 <pre><code>server {}</code></pre> 的 <pre><code>/etc/nginx/sites-enabled/your_conf</code></pre> 块中(或其他路径 - 这取决于您的 nginx 配置):</p> <pre><code>add_header Content-Security-Policy "default-src 'self'; script-src https://accounts.google.com;" always; </code></pre> <p>请记住,使用 <pre><code>default-src 'self'</code></pre> 指令意味着您还必须在 Content-Security-Policy 中包含所有外部资源 - 包括 <strong>字体、图像、样式</strong>等。</p> </answer> </body></html>
我有一个想要限制访问网络应用程序的国家/地区列表。例如,应该禁止来自俄罗斯的用户访问我的网络应用程序。我下载了