Tag: 安全
会话pipe理:如何为REST服务生成身份validation令牌? (新泽西州)
我正试图在我的REST服务中实现会话pipe理。 在冲浪的时候我开始了解这些指南: 不使用服务器端会话 – 它违反了RESTful原则。 使用HTTP基本身份validation – 现在不可能,因为我被要求不使用SSL / TLS(基本身份validation无疑是必需的)。 使用Http摘要 – 我听说这增加了networkingstream量。 这听起来成本很高,特别是当我的客户端是移动设备时。 使用cookies – 我被告知不应该依靠cookie来保护我的重要资源,他们很容易被欺骗。 另外,我通过cookies了解了跨站点脚本攻击。 我留下了一个生成身份validation令牌的选项,用户每次都必须发送 – 我承认这不是“完全”RESTful。 现在我需要知道,我应该如何生成这些在业务级别足够安全的唯一身份validation令牌? 泽西岛有一些图书馆吗? 我应该去OAuth ..我刚刚读了一些关于他们,在我的情况是否有用? 请记住,我的目标客户端是移动设备 – 他们是否可以访问OAuth服务?
如何禁止在芹菜腌制序列化
Celery默认使用pickle作为任务的序列化方法。 正如常见问题中所述,这代表了一个安全漏洞。 Celery允许您使用CELERY_TASK_SERIALIZERconfiguration参数configuration如何序列化任务。 但这并不能解决安全问题。 即使任务使用JSON或类似的方式进行序列化,工作人员仍然会使用pickle序列化执行插入到队列中的任务 – 它们只是响应消息中的content-type参数。 因此,任何可以写入任务队列的人都可以通过编写恶意的pickle对象来有效地执行worker进程。 我怎样才能防止工作线程运行任务序列化与泡菜?
秘密URL是否真的安全?
我从来没有在我的系统中留下后门,但出于好奇心,我想知道是否我留下了一个像/ x52d23r这样的秘密URL,允许绕过某种安全措施,而这只是我个人使用 – 第三方没有得到我的信息? 例如,秘密端口可以进行端口扫描和指纹识别,但是对于秘密URL可以使用相同的策略吗?
编写安全C和安全C语言
“普通人不想自由,他只是想安全。” – HL Menken 我正在尝试编写非常安全的C语言。下面我列出一些我使用的技术,并询问它们是否像我想的那样安全。 请不要犹豫,把我的代码/先入之见撕成碎片。 任何答案,即使是最微不足道的漏洞,或教我一个新的想法将受到高度重视 。 从stream中读取: 根据GNU C编程教程 getline: getline函数会根据需要通过realloc函数自动放大内存块,所以永远不会有空间不足 – getline是如此安全的一个原因。 请注意,getline可以安全地处理您的input行,不pipe它多长时间。 我认为getline应该在所有input下防止从stream中读取时发生缓冲区溢出 。 我的假设是否正确? 有没有可能导致利用的input和/或分配scheme? 例如,如果stream中的第一个字符是一些奇怪的控制字符 ,可能是0x08 BACKSPACE(ctl-H)。 有没有工作做mathcertificategetline是安全的? Malloc在失败时返回空值: 如果malloc遇到错误malloc返回一个NULL指针。 由于仍然可以将指针运算应用于NULL(0x0)指针,因此存在安全风险,因此维基百科build议 /* Allocate space for an array with ten elements of type int. */ int *ptr = (int*)malloc(10 * sizeof (int)); if (ptr == NULL) { /* Memory could […]
strip_tags()容易受到脚本攻击吗?
是否有一个已知的XSS或其他攻击,使其通过一个 $content = "some HTML code"; $content = strip_tags($content); echo $content; ? 手册有一个警告: 此function不会修改您允许使用allowable_tags的标签上的任何属性,包括恶作剧的用户在发布将显示给其他用户的文本时可能会滥用的样式和onmouseover属性。 但是这与仅使用allowable_tags参数有关。 没有设置允许的标签 , strip_tags()容易受到攻击? Chris Shiflett似乎说这是安全的: 使用成熟的解决scheme 如果可能,请使用成熟的现有解决scheme,而不是尝试创build自己的解决scheme 像strip_tags()和htmlentities()这样的函数是很好的select。 它是否正确? 请尽可能引用来源。 我知道关于HTML净化器,htmlspecialchars()等 – 我不是在寻求最好的方法来消毒HTML。 我只想知道这个具体问题。 这是一个理论上的问题。 参考: PHP源代码中的strip_tags()实现
在覆盖成员时,违反了inheritance安全规则 – SecurityRuleSet.Level2
我有一个inheritance自Exception的类。 在.NET 4中,我开始收到一个运行时错误: 在覆盖成员时,违反了inheritance安全规则:MyBusinessException.GetObjectData(System.Runtime.Serialization.SerializationInfo,System.Runtime.Serialization.StreamingContext)'。 重写方法的安全性可访问性必须匹配被重写的方法的安全性可访问性。 我认为这个问题是由我覆盖GetObjectData的事实造成的。 我知道解决这个问题的一个答案是设置SecurityRuleSet: [assembly: SecurityRules(SecurityRuleSet.Level1)] 这不是一个可以接受的答案,我想知道如何解决这个问题,而不必放松在.NET 4中的默认安全规则。
检查密码强度的最佳方法是什么?
另请参见如何计算密码复杂性? 确保用户提供密码的最好方法是在注册或更改密码表单时使用强密码? 编辑:我有一个想法(在Python中) def validate_password(passwd): conditions_met = 0 conditions_total = 3 if len(passwd) >= 6: if passwd.lower() != passwd: conditions_met += 1 if len([x for x in passwd if x.isdigit()]) > 0: conditions_met += 1 if len([x for x in passwd if not x.isalnum()]) > 0: conditions_met += 1 result = False print conditions_met if […]
login/会话cookie,Ajax和安全
我试图确定一个基于ajax的login表单的最安全的方法来validation和设置客户端cookie。 我已经看到了有关XSS攻击的事情,例如: HttpOnly cookies如何处理AJAX请求? 和 http://www.codinghorror.com/blog/archives/001167.html 所以,我想我的核心问题是… 1)是使用纯Ajax来设置cookie安全,如果是的话,什么是最安全的方法(httpOnly + SSL +encryption值等)? 2)纯ajax方法是否涉及到设置cookie客户端? 这完全安全吗? 3)在所有主stream浏览器/操作系统中设置cookie是否可靠? 4)将使用隐藏的IFrame更安全(调用网页来设置Cookie)? 5)如果可能的话,有没有人有这个代码(PHP是我的后端)? 我的目标是设置cookie,并让它们可用于下一次呼叫服务器,而无需离开页面。 我真的想确定达成共识,最安全的方式来做到这一点。 最终,这个代码计划成为开放源代码,所以请不要使用任何商业代码(或者任何经不起公共审查的东西) 谢谢,托德
使用PUT或DELETE方法可以实现CSRF吗?
使用PUT或DELETE方法可以实现CSRF吗? 或者使用Put / Delete来防止CSRF?
如何创build用户并将其添加到Jenkins中的组以进行身份validation?
我select使用“jenkins自己的用户数据库”安全领域的用户login,因为我不能在我的公司使用LDAP。 而当您决定将主机名或端口号更改为其他内容时,Google的OpenID有问题。 为了我的安全,我使用“基于项目的matrix授权策略”模式。 但我似乎无法创build自己的组,并将用户添加到组中以pipe理权限。
