问题标签 [password-protection]

以下是保护 MVC 应用程序的一些常见做法：

• 编码你的输出
• 参数化你的 SQL
• 向后和向前测试您的搜索
• 1路哈希密码
• 锁定帐户或限制登录尝试
• 访问文件系统时使用基于代码的模拟
• 使用锁定的用户名访问 SQL
• 使用蜜罐或验证码提交表单以对抗机器人

如果有任何我遗漏或错误陈述的，请随时贡献。

在对自己的软件进行渗透测试时，您还使用或考虑了哪些其他技术/最佳实践。在启动应用程序之前，您会如何“踢轮胎”。

如果有的话，你使用什么渗透测试服务或软件？

有没有一种方便的方法可以对与Lighttpd中的特定模式匹配的 URL 进行密码保护？

我考虑过匹配正则表达式，但任何其他创造性的解决方案都会很好。

注意：我不是在寻找密码保护目录的方法，因为我要保护的 URL 不限于特定的目录结构。

亚当

我想在我的登录系统中实现一个盐，但对它应该如何工作有点困惑。我无法理解其背后的逻辑。我了解 md5 是一种单向算法，我遇到的所有函数似乎都将所有内容散列在一起。如果是这种情况，如何取回密码进行比较？我最大的问题是，加盐用户密码比散列密码更安全吗？如果数据库曾经被破坏，散列和盐就在数据库中。这不正是黑客所需要的吗？

我还在 SO 上找到了另一个帖子，其中另一个开发人员说：

“确保你的盐和算法与数据库分开存储”

我想将盐存储在数据库中。如果我这样做真的有问题吗？

我正在寻求一些帮助以了解其工作原理以及最佳实践可能是什么。任何帮助是极大的赞赏。

编辑：我要感谢大家的回应和想法。尽管我现在可能更加困惑，但这对我来说无疑是一次学习经历。再次感谢各位。

在我的 ruby​​ 脚本中，我需要传递用户名和

• 密码作为表单中的纯文本以便登录。用户名和密码当前都存储在我的脚本中。

• 我无法控制从脚本登录的服务器。该脚本在本地运行良好，将来我想转移到我的

• 虚拟主机提供商并从那里运行它（我有 ssh 访问权限）

• 使用 cron。有什么办法/方法如何

• 保护密码以防万一有人访问此脚本？

我正在构建一个基于权限的网站。用户可以添加或删除公众对页面和文件的读取权限。

使用 php 提供受保护文件的最佳方式是什么？我见过像 www.mysite.com/download?file=filename.jpg 或类似的东西，但我更喜欢干净的路径。

另外，如果我的文件没有密码保护，我应该绕过 php，让 Apache 直接为它们服务吗？

只是在这里寻找最好的方法。

我有一个使用 .htaccess 和 .htpasswd 文件受密码保护的网站。我希望用户仅在来自某个域的情况下绕过登录提示。这可以通过以某种方式将 .htaccess 凭据作为参数嵌入到链接中来完成吗？

我确实管理我想列入白名单的域，那么如何在 .htaccess 文件将处理的链接中传递 GET 参数？

这是web.config；

当我在我的 Visual Studio 2008 开发服务器上运行它时，它运行良好并且运行良好。当我发布到 IIS 时，我总是在尝试访问网站上的任何页面时收到 Http 403 Forbidden Errors

我的站点中有 1 个文件夹应该受到登录保护，称为“管理”

请有人指出我哪里出错了！我变得非常沮丧:0)

谢谢！

处理忘记密码/密码重置的最安全方法是什么？我应该通过电子邮件将密码发送给用户吗？如果是这样，你会强迫他们重置它吗？还是让他们立即重置（不发送电子邮件）并要求其他信息来验证是他们？或者有没有更好的方法？

我有一个潜在客户，他们在 ASP.NET 3.5 中设置了他们的网站和会员系统。当他们的开发人员设置系统时，他似乎关闭了密码存储的安全/散列方面，一切都以明文形式存储。

是否有在不更改数据库中所有密码的情况下重新安装/更改 ASP.NET 成员的安全密码存储的过程？客户担心如果他们都必须进行大规模的密码更改，他们会失去客户。

我总是默认安装安全性，因此我不知道切换的效果。有没有办法将整个系统转换为安全的密码系统，而不会对用户产生重大影响？

我正在使用 html2fpdf 创建 PDF 文档。现在，一旦我创建了它，我想确保 PDF 文件受密码保护。如何在 PHP 中做到这一点？