Tag: 安全性

渗透testing工具: 我们有数百个以asp，.net和java开发的网站，我们正在为一家外部机构花费大量资金对我们的网站进行渗透testing，以检查安全漏洞。有没有（好的）软件（付费或免费）来做到这一点？或..是否有任何技术文章可以帮助我开发这个工具？

我怎样才能保护自己免受压缩炸弹的伤害？: 我刚刚阅读了关于邮政炸弹，即包含非常大量的高度可压缩数据（00000000000000000 …）的zip文件。打开时，它们将填充服务器的磁盘。如何在解压缩之前检测到一个zip文件是一个zip压缩文件？更新你能告诉我这是怎么做的Python或Java？

AWS Lambda：如何将密码存储到外部API？: 我正在构build基于AWS Lambda的监控工具。给定一组指标，Lambdas应该能够使用Twilio API发送短信。为了能够使用API，Twilio提供了一个账号SID和一个授权令牌。我应该如何以及在哪里存储这些秘密？我目前正在考虑使用AWS KMS，但可能还有其他更好的解决scheme。

如何保护Elmah.axd？: 我们正在使用Elmah作为我们的错误日志logging系统，用于即将投入生产的应用程序。这非常有用，但是如果像这样进入生产环境，任何人都可以访问错误日志，因为他们只需要访问ourdomain.com/elmah.axd 。这显然不理想。我原本打算限制只能访问我们公司内部的IP地址，但现在我们的系统pipe理员说这是不可能的。所以我在这里问如何防止访问这个资源？我们在IIS 6上运行ASP.NET MVC应用程序。

在Javascript中构buildHTMLstring真的不安全吗？: 托pipe我们网站的公司在部署之前审查我们的代码 – 他们最近告诉我们这个：不应该直接操纵HTMLstring，因为这会打开潜在的XSS漏洞。相反，总是使用DOM API创build元素…可以是jQuery或直接的DOM API。例如，而不是 this.html.push( '<a class="quiz-au" data-src="' + this.au + '"><span class="quiz-au-icon"></span>Click to play</a>' ); 他们告诉我们这样做 var quizAuLink = $( 'a' ); quizAuLink.addClass( 'quiz-au' ); quizAuLink.data( 'src', this.au ); quizAu.text( 'Click to play' ); quizAu.prepend( '<span class="quiz-au-icon"></span>' ); 这是真的吗？任何人都可以给我们一个XSS攻击的例子，可以利用像第一个HTMLstring？

我怎样才能安全地在自定义的WebAPI HttpMessageHandler中设置用户主体？: 对于基本身份validation，我已经实现了一个自定义的HttpMessageHandler基于Darin Dimitrov的答案中显示的示例： https ： HttpMessageHandler 该代码创build一个具有用户名和angular色的GenericPrincipaltypes的实例principal ，然后将此主体设置为该线程的当前主体： Thread.CurrentPrincipal = principal; 稍后在ApiController方法中，可以通过访问控制器的User属性来读取委托人： public class ValuesController : ApiController { public void Post(TestModel model) { var user = User; // this should be the principal set in the handler //… } } 这似乎工作正常，直到我最近添加一个使用Task库的自定义MediaTypeFormatter ，如下所示： public override Task<object> ReadFromStreamAsync(Type type, Stream readStream, HttpContent content, IFormatterLogger formatterLogger) { var task […]

语音令人难忘的密码生成algorithm: 背景那天在健身房的时候，我正在用我的组合锁，并且认识到一些对我来说是个有用的程序员。换句话说，我的组合是三个独立的数字组合，或者是相似的，或者是有其他的关系使得它们易于记忆。例如，5-15-25,7-17-2,6-24-5。这些例子似乎很容易记住。题我将如何执行类似的密码？是的，他们应该很难破解，但最终用户也应该很容易记住。组合锁可以用混合的数字混合在一起，这些数字具有相似的声音，并且具有相似属性的数字（7-17-23：全部素数，7在7之后滚动，23是另一个素数，并且是那套），“难”记得）。标准密码应该很容易记住。 Dog!Wolf很容易记住，但一旦攻击者知道你的网站给出了这种组合，这使得检查变得容易得多。文字或字母大多应遵循相同的声音（大部分）。至less8个字母不使用!@#$%^&*();'{}_+<>?,./这些标点符号适用于'硬'密码，没有'易记'的声音。资源这个问题是语言不可知的，但是如果C＃有一个特定的实现，我很乐意听到它。更新有less数用户表示“这是不好的密码安全性”。不要以为这是一个网站。这可能只是为了让我自己根据这些规则生成密码的应用程序。这是一个例子。字母A – C – C – L – I – M – O – P 'stream'，恰好是两个常用字（ Acclimate和Mop ）组合在一起。此外，当用户说这些字母，或者说他们是一个字，这是他们的一个真正的字。很容易记住，但很难破解（显然，字典攻击）。这个问题有两个部分的目标：从听起来类似的字母构造密码（使用一致性）或构造与普通单词相关的密码，类似于生成不在字典中的第三组字母。

X-Frame-Options允许来自多个域: 我有一个asp.net 4.0 IIS7.5网站，我需要使用X帧头选项保护我还需要启用我的网站页面iframed从我的同一个域名，以及从我的Facebook应用程序。目前我有我的网站configuration了一个网站领导： Response.Headers.Add("X-Frame-Options", "ALLOW-FROM SAMEDOMAIN, www.facebook.com/MyFBSite") 当我使用Chrome浏览器或FireFox查看我的Facebook页面时，我的网站页面（正在使用我的Facebook页面进行iframed）显示正常，但在IE9下，出现错误 “此页面无法显示…”（因为X-Frame_Options限制）。如何设置X-Frame-Options: ALLOW-FROM来支持多个域？如果只能定义一个域，那么X-FRAME-OPTION是一个新的function，这看起来根本上是有缺陷的。

Sql Server 2005如何更改dbologin名: 我有一个用户'dbo'具有login名“域\ xzy”的数据库。如何将其从“domain \ xzy”更改为“domain \ abc”。

如何从源码升级CentOS 6.5 / Linux / Unix中的OpenSSL？: 如何在CentOS 6.5中升级OpenSSL？我已经使用这些命令，但没有发生： cd /usr/src wget http://www.openssl.org/source/openssl-1.0.1g.tar.gz tar -zxf openssl-1.0.1g.tar.gz cd openssl-1.0.1g ./config make make test make install cd /usr/src rm -rf openssl-1.0.1g.tar.gz rm -rf openssl-1.0.1g 使用这个命令后，我得到旧版本 openssl version