security 相关问题

VirtualBox 中启动屏幕上的 RETBleed 攻击消息

每当我启动虚拟框 它在引导屏幕上给我一条消息 RETBleed：警告：Spectre v2 缓解措施使 CPU 容易受到 RETBleed 攻击，可能导致数据泄露！ 这是一件值得担心的事情吗

我的 wp 网站可能被 anon_explorer 脚本入侵了？ [关闭]

我认为我的 wordpress 网站被黑了，但我似乎找不到攻击源。我的 wp 版本是最新的，网站托管在 digital ocean。我将代码运行到 chatgpt 并基于 ...

直接从 URL 查询字符串提供的 mongo 查询有多危险？

我正在玩弄 node.js、express 和 mongoose。 为了立即启动和运行某些东西，我将 Express 查询字符串对象直接传递给 mongoose 查找函数。

如何手动生成X.509格式的RSA证书？

我想创建一个生成 RSA 证书的飞镖库，但我不了解 X.509 格式或如何使用 Distinguished Encoding Rules 对数据进行编码。 有人可以提供一个ste ...

使用 Cloudflare 从桌面阻止网站

我有一个基于手机的小型网站。出于这个原因，当用户从桌面进入我的网站时，会出现一个糟糕的形象。我的目标是使用 Cloudflare 上的 WAF 阻止桌面登录到我的网站......

在 MacOS Ventura 上拦截其他进程的文件系统调用

有多种方法可以监控 MacOS Ventura 上的文件系统访问，例如 fs_events 或新的 Endpoint Security System Extension 框架。 有没有办法拦截并可能阻止

WP<= 6.1.1 – Unauthenticated Blind SSRF via DNS Rebinding

我们正在经历“WP<= 6.1.1 – Unauthenticated Blind SSRF via DNS Rebinding” issue in WordPress version 6.1.1 on my website OlxPraca.com, it means that there is a security vulnerability ...

从非公共存储文件夹热读取文件

我想将文件存放在非公共存储文件夹中，我想在前面显示。这将是防止未经授权访问的安全措施。我知道我可以使用 readfile 函数，但它不起作用，因为

发送相同的 OTP，只要它没有过期

我有一个通过短信和电子邮件发送 6 位 OTP 的系统。 我正在考虑让它发送相同的 OTP（每个用户），只要它没有过期（在我的例子中是 10 分钟）。 因此，例如，如果用户

如何使用 Selenium WebDriver 编写 SSL 证书验证测试脚本？

这是在使用 New Relic 使用合成监视器进行简单的 HTTP 健康检查时出现的。简单的检查变得有点复杂，我们需要使用脚本浏览器测试而不是......

动物园管理员指标提供者的禁用 HTTP 跟踪

我正在使用 Apache Zookeeper 的默认“metricsProvider”来收集指标。我的配置如下。 metricsProvider.className=org.apache.zookeeper.metrics.prometheus.

如何解决 href 标签中的 XSS 漏洞？

我刚刚开始使用 Web 应用程序扫描器来查看我的 Web 应用程序有哪些漏洞，并且得到的结果显示 href 标签中存在 xss 漏洞。 例如警报脚本...

Hydra 与 OWASP 果汁店

我是网络安全领域的新手，我正在尝试破解 OWASP 的 docker 容器 juice-shop 作为培训： OWASP 果汁店。 我试图用九头蛇暴力破解登录页面，但九头蛇只是返回......

系统评估相关

亲爱的， 请注意，我想评估应用程序的数量，我将衡量这些指标： 平均响应时间 应用程序可用性是否有免费工具来记录任何

为什么“window.open('', '_blank', 'noreferrer')”导致“about:blank#blocked”

不明白为什么新窗口在这个位置打开。 另外，如果我将新窗口分配给一个变量，它的值为空： const win = window.open('', '_blank', 'noreferrer'); // win === null....

Symfony sensio/framework-extra-bundle 被放弃了，#[Security] 替代品是什么？

我看到“package sensio/framework-extra-bundle is abandoned, you should avoid using it. Use Symfony instead.” 但我在我的控制器中使用它： 使用 Sensio\Bundle\FrameworkExtraBundle\Configur...

防止管理员在web应用中作弊

我们有一个 ASP.NET Core Web 应用程序在 Azure 的 Web 应用程序中运行。我是系统的开发者和管理员，但不是我的系统。 我们需要有一个设置，我们可以保护数据

如何避免将无符号整数与有符号数进行比较？

void main() { 无符号整型 = 0； 如果（一个 - 10 < 0) { printf("error!\n"); } } we know this comparison won't work, because a-10 will be a big unsigned integer, it can...

使用 Maven 检测漏洞 OWASP

在我的项目中，我想通过使用 dependency-check-maven 插件来检测漏洞： 所以我在 POM.XML 中添加了这段代码 在我的项目中，我想使用 dependency-check-maven 插件来检测漏洞： 所以我在 POM.XML 中添加了这段代码 <build> <plugins> <plugin> <groupId>org.codehaus.mojo</groupId> <artifactId>sonar-maven-plugin</artifactId> <version>3.2</version> </plugin> <plugin> <groupId>org.owasp</groupId> <artifactId>dependency-check-maven</artifactId> <version>1.2.8</version> <executions> <execution> <phase>package</phase> <goals> <goal>check</goal> </goals> </execution> </executions> <configuration> <failBuildOnCVSS>6</failBuildOnCVSS> <format>ALL</format> <outputDirectory>${dependency.check.report.dir}</outputDirectory> </configuration> </plugin> </plugins> 当我执行命令时mvn clean package 结果：在我的项目的文件夹目标中生成了两个文件 dependency-check-report 和 dependency-check-vulnerability 但它们的内容是这样的： Scan Information (show all): •dependency-check version: 1.2.8 •Report Generated On: déc. 9, 2019 at 14:19:59 GMT+01:00 •Dependencies Scanned: 78 •Vulnerable Dependencies: 0 •Vulnerabilities Found: 0 •Vulnerabilities Suppressed: 0 所以当我看到控制台消息时，我找到了消息 [INFO] Copying webapp resources [C:\Users\ychakir\master\contraste-server\contraste-war\src\main\webapp] [INFO] Webapp assembled in [6238 msecs] [INFO] Building war: C:\Users\ychakir\master\contraste-server\contraste-war\target\contraste-war-1.0.0-SNAPSHOT.war [INFO] [INFO] --- dependency-check-maven:1.2.8:check (default) @ contraste-war --- dÚc. 09, 2019 2:22:04 PM org.owasp.dependencycheck.Engine analyzeDependencies GRAVE: No documents exist` 你有什么想法请告诉我吗？ 提前谢谢你 您可以采用另一种方法来运行dependency-check-maven，方法是使用此命令直接调用它，here： mvn org.owasp:dependency-check-maven:check 当然，使用这种方法，依赖性检查不会作为构建的一部分运行。但它可以节省您将其添加到您的 pom.xml 中的努力。

前端确保后端发布 JWT 令牌有什么意义？

让我们以使用 JWT 令牌身份验证和 RSA 算法的 Web 应用程序为例。以下是身份验证过程的步骤： 前台用户通过提供其凭据进行身份验证...