问题标签 [application-security]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
25 浏览

c++ - 基于局域网的应用程序和安全通道认证

我有一个服务器,它对客户端应用程序进行身份验证并允许它们执行或不执行。我想在服务器和客户端之间建立一个安全通道。我已经用sslssh协议编写了​​我的服务器,但我不知道在这些场景中必须使用哪一个,哪一个更合乎逻辑。

客户端和服务器都是用 Qt,c++ 编写的。

ssl 主要用于 https 和基于 web 的应用程序,而 ssh 用于远程管理,所以我认为 ssh 更适合我的服务器。我也认为如果我发布带有证书的应用程序(exe 文件和证书),这不是一个好的设计。

0 投票
1 回答
255 浏览

java - 创建用户帐户时记录和记录暴力攻击的正确方法

我们有以下用例:

用户可以通过填写带有身份证、名字、姓氏和出生日期的验证表格来自行注册企业帐户。ID 是只有用户提前知道的东西。用户有 5 次尝试匹配他们的所有信息

我们计划在存储验证尝试的数据库中维护几个表

表 1 和表 2 具有一对多的关系。下面是一个例子,如果用户在锁定之前尝试猜测名字、姓氏和 dob 5 次会发生什么。应用程序检查表 1 的尝试列,如果特定 id 为 5 或大于 5,则用户帐户(具有该特定 id)被视为锁定。

上述方法的问题是我们只通过 id 跟踪失败的尝试。如果用户试图更改 id 并进行攻击怎么办?通过保持名字,姓氏和出生日期相同并猜测ID?

也许我需要重新考虑验证表的设计和我的方法来解决用户试图猜测 id 的问题?或者有没有更好的方法来思考这个问题?

编辑:这是一个带有前端客户端的 REST Api url。所以Captcha可能不会保护API??

0 投票
1 回答
108 浏览

application-security - 应用程序安全参考

我最近进入了应用程序安全布道者的角色。作为我职责的一部分,我需要及时了解安全问题。您能否推荐一些提供与 Web/数据库安全以及 Java C# 和 Python 等语言相关的行业更新的好网站。感谢任何其他建议,以在该职位上取得成功。

0 投票
2 回答
1389 浏览

security - ZAP Ajax 蜘蛛身份验证无法使用 ZEST

遵循以下步骤: 1. 记录 ZEST 脚本(测试可以工作) 2. 在上下文中包含站点 3. 添加用户 4. 选择强制用户 5. 上传脚本并选择基于脚本的身份验证 6. 定义注销指示器 7. 从蜘蛛中排除注销8. 运行 Ajax 蜘蛛选择上下文和用户

我错过了什么?

0 投票
1 回答
23 浏览

java - 如何将文件添加到另一个文件中,例如 Java 中名为 store.dat 的文件?

所有数据都必须存储在一个持久性文件名secure_store.dat 中。

以下命令应将新文件添加到 Secure Store 领域:

put [path_on_OS] [file_name]

我怎样才能做到这一点 ?如何将我 PC 中的文件添加到 secure.store ?谢谢你。

0 投票
2 回答
230 浏览

security - OWASP 安全编码实践中缺少项目信息

当我找到OWASP 安全编码实践指南时,我觉得我找到了一颗隐藏的宝石。清单格式的信息很棒。虽然我很失望地看到没有找到指向多个其他外部项目的链接,并且它们的工件根本不存在。所以在这里指出它希望任何人有更多关于他们的信息。

我不确定如何找到或访问这些。

0 投票
1 回答
711 浏览

c# - 如何使用 ASP.NET MVC 对静态文件应用安全权限?

我正在尝试使用 ASP.NET MVC 来创建一个 Web 应用程序,该应用程序将获取有关父项的详细信息,并允许上传和共享与父项关联并存储在父项名称下的文件。

我要保护的文件以这种方式存储:~/Files/{Item-GUID}/{Filename}.{ext}

Item-Guid 可用于查询数据库以获取项目的安全权限。(用户被记录为 AD SID)

我需要知道如何让 ASP.Net 响应对路径 ~/Files/ 中这些文件的文件请求,并在将文件提供给用户之前使用 /Item-GUID/ 检查安全权限,如果用户未登录或无权访问父项。

对于我应该从哪里开始的任何链接或建议,我将不胜感激。提前致谢。

0 投票
1 回答
234 浏览

android - 仅允许 Android 操作系统打开启动器活动

在我的 Android 应用程序中存在一个安全漏洞,我的应用程序可以被恶意应用程序打开。我在启动器活动中使用以下意图过滤器。

这个意图过滤器使 Main Activity 暴露给其他应用程序。有没有办法将 Main Activity 只暴露给 Android OS 而不是其他应用程序。据我了解,我们不能使用“exported=false”。

0 投票
1 回答
3638 浏览

security - 使用具有相同值的重复响应标头可以吗?

我发现了一个响应,其中应用程序使用了具有相同值的重复标头。谁能告诉我,这是一种良好的编程习惯,还是用于安全角度或其他方面?

此应用程序使用具有相同值的重复 X-Content-Type-Options 标头、Strict-Transport-Security、X-Frame-Options 标头。

0 投票
1 回答
2687 浏览

http-headers - 主机头注入

我是安全方面的初学者,并且正在阅读有关主机标头注入的信息。我针对此漏洞测试了一个应用程序,并且可能存在一些请求,但开发人员实施了无缓存、无存储标志,并且此漏洞不在密码重置请求中。
所以第一件事是不会有缓存中毒。第二个是密码重置请求中没有发生。
据我了解,为了利用此漏洞,我更改了该主机标头。所以我想知道为什么它会是一个漏洞,为什么用户会更改应用程序的主机?以及攻击者如何利用它?