与应用程序安全性和软件攻击相关的主题。请不要单独使用此标记,这会导致歧义。如果您的问题与特定编程问题无关,请考虑在Information Security SE上询问:https://security.stackexchange.com
我们在 GitLab 合并请求中使用自动压缩来获取良好的 git 历史记录。我们还使用 git commit 签名来获取经过验证的提交。但是当 GitLab 实际上在合并时进行压缩时,它会创建一个未签名的......
我正在尝试制作一个强力程序来猜测和检查数字,直到找到两个未知的素数乘以一个已知的数字。但是当已知数是 64 位长时,它的效率很低......
确保 App Engine 应用程序强制执行 HTTPS 连接
我必须验证控制应用程序的 app.yaml 文件是否包含强制执行的行 安全连接。例如 处理程序: - 网址:/.* 安全:始终 重定向_http_响应_代码:...
向 MySQL/MariaDB 数据库中面向公众的应用程序授予所有权限是否安全?
考虑一下: 使用授予选项将 myapp.* 上的所有权限授予 'myapp'@'localhost'; 来自 DigitalOcean 文档,了解如何创建新的 MySQL 用户: 警告:某些用户可能想要授予
我正在尝试通过 ZAP 自动化一些安全测试,我想知道是否有任何可能的方法可以在自动化场景中使用 ZAP 附加组件:令牌生成和分析? 我检查过...
GitLab:个人模拟令牌 (PAT) 对我的机器人用户不起作用
我创建了一个特殊的“bot”用户来与Redmine集成。这个想法是将此用户作为“报告者”添加到某些项目/组中作为“报告者”,以便为Redmine提供...
处理 Entrea(以前的 Azure AD)对自定义 SCIM 端点的端点身份验证
我正在尝试使用 SCIM 将自定义应用程序与 Entrea(以前称为 Azure AD)集成来处理用户停用,但我需要一些有关连接安全性的建议。 微软提供了两种方式...
我与 Nucleon EDR 合作,我想了解零信任范式的工作原理。我很困惑! 谢谢。 雷加尔
将 PKCE 与授权码授予类型结合使用如何提高 OAuth 2.0 中机密客户端的安全性?
对于 OAuth 2.1,即使对于授权码授予类型,也建议使用 PKCE,以防止授权码注入攻击。 但是,假设攻击者已经可以拦截响应并且
我正在研究本文算法的实现。我已经基本完成了整个事情,但还有一些问题。首先,它非常适合嵌入数据......
Jetpack Compose Tapjacking:过滤模糊 UI 上的触摸
虽然 Android 中的传统 XML 视图中存在大量关于 Tapjacking 的文档,以防止恶意应用程序与敏感信息交互,但似乎没有围绕该问题...
curl、浏览器和移动应用程序使用哪些键值对和证书进行 https 调用?
我了解到在tcp连接设置期间会发生tls握手,其中涉及公钥和tls证书的交换。 我的问题是像curl这样的程序在哪里......
curl、浏览器和移动应用程序使用哪个键值对和证书来进行 https 调用?
我了解到在tcp连接设置期间会发生tls握手,其中涉及公钥和tls证书的交换。 我的问题是像curl这样的程序在哪里......
我必须创建一个密码强度检查器,我无法满足的唯一要求是“不是字典单词或专有名称”。我有一个 60MB 的文本文件,其中包含大量单词。例如,什么...
我想从多个域中提取 URL 并将唯一的输出值保存到一个 txt 文件中。 URL 有不同的格式,有些有 http、https、127.0.0.1。我只想获取 URL 和
在基于 Web 的单页应用程序 (SPA) 中使用带有授权码 + PKCE 的 OIDC/OAuth 2 进行用户身份验证时,可以生成随机数参数并将其发送到身份验证专家...
我正在开发一个 Flutter 应用程序,需要存储敏感的用户数据,例如 API 密钥和访问令牌。我想确保这些数据安全地存储在设备上,以防止未经授权...
Xamarin iOS EC 加密 SECP256r1 与 SHA256 摘要公钥长度
我正在使用公钥和私钥实施生物识别身份验证。 密钥对实例化过程中,公钥保存在服务器上,私钥保存在密钥库中...
我正在使用 express-xss-sanitizer 包来清理 Node.js Express 应用程序中的传入请求。但是,我仍然看到 Checkmarx 报告的有关潜在 XSS 攻击的问题。 ...
我需要免费工具来为我的 Azure Devops 管道实施 SCA 和 SAST。 我开始研究一些工具,如 fortify、checkmark、trivy、balckduck、sonarqube、snyk 等 有免费的吗...