问题标签 [application-security]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
2 回答
2678 浏览

.net - .NET 上的证书固定

我想限制我的 .NET 应用程序只接受已知证书。那么如何在 .NET 上强制执行证书固定?最佳做法是什么?只验证指纹是否可以?

0 投票
1 回答
876 浏览

android - 如何在 android 模拟器 3.1 的 cacerts 文件夹中添加证书

我正在尝试在 android 模拟器 3.1 中拦截本机应用程序的 HTTPS 流量。但是,文件系统中不存在 cacerts.bks 文件。所有证书都存储在 /system/etc/security/cacerts/ 下。在添加证书和使用代理拦截请求方面的任何帮助将不胜感激。

干杯。

0 投票
0 回答
145 浏览

.net - 拒绝访问:您尚未设置使用此系统 VB.Net 应用程序

我的某些用户帐户无法从我们的网络驱动器运行 VB.net 应用程序。当问题用户帐户执行 Click-once 应用程序时,程序开始执行在 ms access 数据库上创建文件锁,但随后系统抛出以下错误:

Windows 标题栏中的访问被拒绝并显示一条消息:“您尚未设置使用此系统。请联系您的系统管理员。

无论我登录到哪个工作站,这些问题用户帐户都会发生这种情况。我已将其缩小到特定应用程序,因为我能够运行另一个使用相同 ms 访问数据库的 VB.Net 应用程序。

  • 我什至从 AD 中删除了用户帐户,然后使用复制用户功能通过从运行应用程序的用户帐户复制来重新创建用户帐户。

我还删除了 Click-once 安全性并重新发布了应用程序。任何帮助或指导将不胜感激,因为我没有选择尝试。非常感谢...

0 投票
3 回答
4566 浏览

android - 在我自己的应用程序中发送敏感意图附加信息的安全性?

我有一个活动要求输入用户名和密码,然后在我的应用程序中启动另一个活动以完成用户注册。我想将用户名+密码作为意图附加信息发送到第二个活动。就像是:

我的清单定义了 SecondActivity,例如:

现在我对发送用户名+密码作为这样的意图附加信息的安全性表示怀疑 - 另一个应用程序是否有可能使用欺骗性意图过滤器拦截 SecondActivity 的调用?除此之外,我想知道额外的意图会发生什么,它们是否曾经被操作系统持久化到磁盘上?如果是这样的话,有人可能会在那里看到它们。

谢谢

0 投票
1 回答
1043 浏览

java - 在 Java 中读取文件时是否存在任何已知的安全问题?

例如,带有宏的 Word 文件、PDF 文件存在已知漏洞,打开时可能会危及和损害您的系统。

以类似的方式在 Java 中解析 CSV 文件或读取 txt 文件时是否存在任何已知问题?是否有可能通过这些操作激活病毒或恶意软件?

我无法找到与上述操作相关的任何安全问题,但想查看更大的论坛。

0 投票
0 回答
234 浏览

c# - 网络管理员对 PrincipalContext ValidateCredentials 有什么顾虑?

我正在编写一个 WPF C# 应用程序,它将主要驻留在防火墙后面的域上的公司笔记本电脑上,并使用Security.Principal.WindowsIdentity.GetCurrent()PrincipalContext.ValidateCredentials方法的组合来确保用户登录到网络和我的应用程序中的用户。一切都运行良好,包括如果用户通过 VPN 使用非域机器(我们的某些用户的有效条件),则抛出一个额外的登录框。

我做了一些研究,无法准确确定该ValidateCredentials方法在 AD 中的实际作用。具体来说,我希望能够预测我的网络管理员可能遇到的任何问题,包括通过网络传输的任何奇怪流量或(对他们而言)看起来很奇怪的请求命中 AD。

有没有人收到过任何反馈或观察到任何奇怪的流量或活动,这可能会使网络管理员产生怀疑?从我读到的所有内容来看,不应该有,但如果有的话,我想积极主动。

0 投票
1 回答
152 浏览

security - 与目录相关的安全性

如何解决目录遍历问题?在 Apache 或 IIS 配置中禁用目录列表 从参数中搜索替换 ../ 在 webroot 中添加一个空白 index.html 文件 执行输入验证或对文件使用数据库令牌

0 投票
2 回答
4357 浏览

ios - 越狱设备中的钥匙串数据安全性

在钥匙串中存储敏感数据是 iOS 的最佳实践。但是使用越狱设备,攻击者可以转储所有钥匙串数据。(钥匙链翻斗车)

任何人都可以帮助我了解如何保护钥匙串中的数据,以防设备越狱。

0 投票
1 回答
1429 浏览

docker - 使用主机网络的 Docker 容器有哪些缺点?

我知道默认情况下会在自己的网络堆栈中创建一个 docker 容器。

我想--net host在运行 docker 容器时使用该标志以允许使用所有主机端口。

我知道的缺点:

  1. 在容器内运行的服务可能会与在同一端口上运行的其他容器中的其他服务发生冲突。
  2. 容器可以访问完整的网络堆栈。

我的问题是,当允许容器使用完整的网络堆栈时,安全影响是什么?

0 投票
3 回答
4389 浏览

php - Yii2 - 未知属性 – yii\base\UnknownPropertyException 获取未知属性:yii\web\Application::security

嗨,我安装了 yii2 并编写了应用程序。我用过 git。当我将应用程序传输到服务器时。一切看起来都很好。但是当我尝试登录时,我收到了这条消息:

获取未知属性:yii\web\Application::security

会有什么问题?我运行了作曲家更新。为什么只缺少安全性?