security

0熱度

1回答

我已經編寫了一個應用程序，支持使用普通用戶名和密碼的成員帳戶。現在我想實現TouchID以方便使用。但是我偶然發現登錄令牌過期的地方（我的服務器爲用戶提供了一個令牌，在成功登錄後使用一段時間，直到此令牌本身到期）：爲了通過TouchID登錄到iser（無需他輸入他的憑據一旦agaim），我需要在手機上存儲該信息。看起來像鑰匙扣是技術使用的。然後我問自己：如果憑證在這個鑰匙串中，那麼使用Toic

0熱度

1回答

Rails異常;我的應用程序易受攻擊<script>警報（「xssvuln」）</script>

我安裝我的應用程序exception notification，和我有幾個這樣的通知，昨晚：的::的ActionView ::模板發生在課程＃在線錯誤： PG::InvalidTextRepresentation: ERROR: invalid input syntax for integer: "<script>alert("xssvuln")</script>" LINE 1: ...".

0熱度

2回答

彈簧安全：公共API註冊新用戶

我有一個用例，我想HTTP POST a userName作爲JSON到我的服務，然後服務應註冊一個新用戶（給定userName和一個自動生成密碼）。 JSON { "userName": "Sia" } 我使用Spring Security，而且我現在面臨的問題是：每當我試着HTTP POST一個userName，該服務已經要求進行身份驗證（用戶名和密碼）。這不是我想要的。我希望註冊A

0熱度

1回答

保護Node js運行時或禁用調試/檢測

我有一個運行在nodejs上的JavaScript應用程序。它讀取stdin以獲取用戶名和密碼以訪問一些在線服務。如果需要重新登錄，這些憑證保留在應用程序運行期間（24/7）的整個變量中。訪問服務器的人是否可以「調試」應用程序並獲取這些變量，就像人們在瀏覽器中一樣？或任何其他方式。我對節點的內部工作仍然有點不甚瞭解。編程：該應用程序正在Docker容器上運行！

0熱度

1回答

將.well-known/assetlinks.json存儲在公共庫存中？

將文件.well-known/assetlinks.json保存在公共庫中是否安全？由於聲明列表要求籤名密鑰，因此它似乎是一個敏感文件？

-3熱度

2回答

防止假冒用戶的攻擊（真正的用戶是那些真正處於特定位置的用戶）

假設我正在爲一個展覽製作網絡應用程序（例如平均堆棧），我想確保我的服務器只接受來自用戶的請求真的在場內，我該怎麼辦？什麼是常見攻擊？

-5熱度

1回答

智能手機GPS有多可靠？它可以被黑客入侵嗎？

如果我要編寫一個記錄設備GPS位置的移動應用程序，我可以確定GPS位置沒有被篡改？爲了避免混淆，我不關心GPS的分辨率/精度，我更關心安全性。 GPS座標是否可以被黑客入侵，以便我的應用記錄一個不正確的位置？我可以證明應用程序記錄的GPS座標可以信賴嗎？

0熱度

1回答

自己實現哈希

我正試圖學習更多關於密碼哈希。我很習慣於Java，並試圖編寫我自己的密碼散列函數。我知道你永遠不應該實現你自己的密碼安全，這純粹是一個學術努力。我做了我自己的HashMap和其他數據結構的實現。如果需要，我會很感激哈希如何工作和代碼片段的描述。我已經搜索了一個答案，但我能找到的是如何使用SHA 256（或其他）來散列密碼。我想讓自己更多地瞭解這些算法。感謝您的幫助。 p.s. 爲了澄清，我知道有一

0熱度

2回答

有沒有關於python-flask的request.remote_addr的缺陷？或者它是可靠的（沒有反向代理）

Gooday to All，我寫下了一個非常敏感的Web應用程序，其功能就像文件瀏覽器，而不是使用sftp/ftp或ssh。它純粹使用http/https。我使用request.remote_addr來確定客戶端的IP地址。如果IP不在列表中，則拒絕。 good_ips = ['127.0.0.1','192.168.1.10','192.168.1.1'] if request.remote_

1熱度

1回答

SHA 2哈希和Java的問題

我正在努力遵循如https://en.wikipedia.org/wiki/SHA-2中所述的SHA-2加密函數。我審查其說行：開始長度爲L比特的原始消息附加一個單一的「1」位; 附加K'0'位，其中K是最小數量> = 0，使得L + 1 + K +64是512的倍數將L附加爲64位大端整數，使得總後處理長度是512位的倍數。我不明白最後兩行。如果我的字符串很短，那麼在添加K'0'位後它的