与应用程序安全性和软件攻击相关的主题。请不要单独使用此标记,这会导致歧义。如果您的问题与特定编程问题无关,请考虑在Information Security SE上询问:https://security.stackexchange.com
LNK 文件漏洞 (CVE-2015-0096) 的工作原理是什么?
我目前正在做一项演示 CVE-2015-0096 用法的作业。它也称为“LNK 文件漏洞”。我试着查了一下,得到了一些信息(主要涉及.DLL文件...
如何使用 Frid 显示 Android 应用程序的函数调用?
我有一个Android应用程序。如何使用fried打印该应用程序的函数调用堆栈?我需要对调用哪个函数以及从哪个类调用的可读引用。该应用程序...
阻止除 1 个国家/地区之外的所有国家/地区,但将此阻止中的 URL 列入白名单
为了减少垃圾邮件,我的网站在.htaccess中有以下内容: GeoIP 启用 SetEnvIf GEOIP_COUNTRY_CODE AU 允许国家 所有人都否认 允许来自 env=AllowCountry 然而,Facebook 现在抱怨它...
我需要一个字符串方法来隔离Python中URL的域。像 “https://stackoverflow.com/questions/ask” 我只需要隔离“.com”,之后没有任何内容或...
(我在我的网络上这样做,只是为了科学)。我正在使用 airodump-ng 来捕获握手。之后,我能够在 WireShark 中打开包含捕获信息的文件并用 4 只手找到零件...
后端应用程序在登录时提供访问令牌。此外,我使用 Node.js Passport.js 库控制受保护的路由器。此外,我每 10 分钟更新一次访问令牌并且......
我设法使用在线文档安全部分示例使用 FastAPI 构建了一个登录系统。它或多或少是相同的,除了你必须从 MySql 获取用户。 我有两个问题。 我可以...
尝试了解攻击 WEP 加密的理论,特别是 IV(初始化向量)。我理解 IV 的概念和目的(有点像密码附加的“盐”......
生产环境的 Flask-Login 与 Flask-Security
我正在构建一个功能,供用户注册、登录、验证和授权自己,特别是使用Python(Flask)作为后端。我找到了一些解决方案,例如 Flask-login 和
我需要保护我为虚拟游戏设置的小商店。 我在游戏服务器内创建了一个 Web API 来为商店的网站提供服务。当有人买东西时,那个东西就会出现...
如何使用密码安全地将密钥存储在AndroidKeyStore中?
我正在尝试创建一个允许用户存储密码的应用程序。现在,我允许用户通过两种方式加密他们的密码,第一种是生物识别,另一种是密码 我是...
我正在开发一个遗留的 Grails 应用程序。 我有几个这样的表: 用户(ID、名称、企业 ID) 企业(ID、名称) 资产(id、描述、enterprise_id) 我想验证一下...
使用 Kerberos 进行身份验证时,我应该使用“WWW-Authenticate: Negotiate <value>”来做什么?
我有一个 Web 服务器,它返回 WWW-Authenticate: Negotiate HTTP 标头(无 ),这表明客户端应使用 Kerberos 进行身份验证。 然后客户端生成一个 Kerberos 来...
与此问题相关,给出以下名为 customer.xsd 的架构: 与这个问题相关,给出以下名为customer.xsd的模式: <xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema"> <xs:simpleType name="stringMaxSize5"> <xs:restriction base="xs:string"> <xs:maxLength value="5"/> </xs:restriction> </xs:simpleType> <xs:element name="customer"> <xs:complexType> <xs:sequence> <xs:element name="name" type="stringMaxSize5"/> <xs:element ref="phone-number" maxOccurs="2"/> </xs:sequence> </xs:complexType> </xs:element> <xs:element name="phone-number"> <xs:complexType> <xs:sequence/> </xs:complexType> </xs:element> </xs:schema> 以下 XML 文档称为 input.xml: <customer xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="./customer.xsd"> <name>Jane Doe</name> <phone-number/> <phone-number/> <phone-number/> </customer> 以及以下解组代码: import java.io.File; import java.util.ArrayList; import java.util.List; import javax.xml.bind.JAXBContext; import javax.xml.bind.Unmarshaller; import javax.xml.bind.annotation.XmlRootElement; public class Unmarshal { @XmlRootElement(name = "customer") public static class Customer { public String name; @XmlElement(name="phone-number") public List<PhoneNumber> phoneNumbers = new ArrayList<PhoneNumber>(); } public static class PhoneNumber {} public static void main(String[] args) throws Exception { JAXBContext jc = JAXBContext.newInstance(Customer.class); Unmarshaller unmarshaller = jc.createUnmarshaller(); unmarshaller.setSchema(null); Customer customer = (Customer) unmarshaller.unmarshal(new File("input.xml")); System.out.println(customer.name); } } Java 代码能够将 XML 输入文档反序列化为 Customer 的实例,即使此 XML 文档产生 2 个验证错误(由外部编辑器指示): cvc-maxLength-valid: Value 'Jane Doe' with length = '8' is not facet-valid with respect to maxLength '5' for type 'stringMaxSize5'.xml(cvc-maxLength-valid) cvc-type.3.1.3: The value 'Jane Doe' of element 'name' is not valid.xml(cvc-type.3.1.3) 和 cvc-complex-type.2.4.f: 'phone-number' can occur a maximum of '2' times in the current sequence. This limit was exceeded. No child element is expected at this point.xml(cvc-complex-type.2.4.f) 这意味着 JAXB 在解组期间没有验证给定的 XML 输入,但是: 鉴于 unmarshaller.setSchema(null); 设置为 DISABLE 模式验证,有没有办法证明在解组时 JVM 未访问 customer.xsd 文件的内容? 换句话说,有没有办法不盲目相信 JVM 不会加载 XSD 引用,即使模式验证显式设置为 null? 更新1: 目的是找出 XML 文档内的 XSD 架构引用有多大可能成为安全攻击媒介,如下所述: https://owasp.org/www-community/vulnerability/XML_External_Entity_(XXE)_Processing https://cheatsheetseries.owasp.org/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet.html 谢谢。 我并不真正理解检查这一点的必要性,但这里有一个简单的用例,应该证明在解组 XML 时 XSD 文件不会被 JVM 加载: 通过任何您想要的插件从 XSD 创建 Java 类,或者像这里一样,手动创建它。将其打包在 jar 文件中,其中不含 XSD(仅限 Java 类) 在另一个 Java 程序中从 XML 编写解组代码,该代码依赖于第一个 JAR,并在类路径中没有任何 XSD 的情况下运行它 ==> 即使不知道 XSD 架构,您的代码仍然可以工作 您还可以查看 Java 代码本身: 实现 com.sun.xml.bind.v2.runtime.unmarshaller.UnmarshallerImpl 接口的 Unmarshaller 的默认 schema 属性为 null(因此将其设置为 null 在上面的代码中是无操作的) 您的代码不引用您创建 Java XML-annotated-POJO 的 XSD 本身:JVM 无法猜测您是根据外部模式编写的代码。 您还可以在调试模式下运行程序,并看到 XSD 不会被加载(同样,您的 Java 代码中没有引用:您甚至可以删除它,这不会产生任何影响)。 不过,我希望我已经回答了你的问题。
我是 TFS 2013 中一个项目的管理员。我试图从 Web 界面更改不同组的权限,但由于错误,我更改了组的以下权限: 查看集合...
为什么我可以在注册表编辑器中更改值,但不能在以管理员身份运行的 C# 表单应用程序中更改值?
我尝试在 C# 中启用声音设备。这会导致 System.Security.SecurityException:“不允许请求的注册表访问。”。只需加载(读取)密钥即可,因此路径是正确的。 该...
Java 解密 - 使用填充密码解密时输入长度必须是 8 的倍数
我有一个安全课程项目,但遇到了问题。 基本上,我正在尝试加密然后解密密码,但我在解密时收到此错误。 “输入长度必须为 mu...
从另一个域 B 设置 cookie,以便在以后访问网站 A 时用作网站 A 的第一方 cookie
请帮我澄清我对cookie的理解,以及在这种情况下可以做什么 我的公司 mycompany-example.com 有一个小部件服务,可以注入 html 和 JS 代码以及有用的内容...
我收到了一个数据文件,其中包含 RSA 加密的公钥和密文,并提示“解决”。下面的数据文件内容,其中c是密文,n和e是公共密钥...
我对身份验证概念很陌生,也许我做错了一些事情,但我需要一些有关密钥斗篷管理的帮助。 我在服务器上安装了 keycloak,创建了一个领域、一个客户端和一个用途...