问题标签 [secure-coding]

目前我正在尝试加密 HTTP 请求上的 POST 标头，我尝试这样做的原因是因为我的公司处理关键流程，我们最近发现密码是在客户计算机上使用 Firefox 上的 Firebug 获得的（获取 POST 标头并窃取我们作为控制输入的每个密码）

是否有一个很好的库来加密 POST 标头？如果没有，我们如何才能在这些标头中获得这种保护级别？注意：由于与之相关的风险，我们不能使用自签名证书

我正在用 C# 开发一个 Windows 窗体应用程序。我听说一个人不应该在代码中使用内置方法和函数，因为黑客对这种内置方法有深刻的理解，并且知道如何使它们失败，而是应该始终使用他/她自己的函数和方法，如果不是，则从那些新创建的函数中智能地调用内置函数。这有多少是真的？

支持我的论点的一个支持示例是，我看到开发人员总是开发自己的加密算法，如 AES、DES、RC4 和 Hash 函数，因为他们认为内置加密算法中有很多次后门。

我不希望我的用户能够使用检查元素更改 ('+res.id+') 和 ('+res.level')，因为如果他们这样做会改变提交按钮的结果。

例如 '+res.id+' 是 = 2 并且 2 等于 fireragon，但如果该人使用 inspect 元素，他们可以将 2 更改为 1 并且 1 等于 Lightningdragon。然后当他们点击战斗时，火龙变成了闪电龙。基本上，他们可以随心所欲地与任何人/任何人作战。

有没有办法阻止人们更改这些变量或检查变量是否已更改，以便我可以向用户发送错误消息？

我需要将所有 ASP cookie 声明为安全且httponly. 代码采用经典 ASP 和IIS ver is 6.0.

cookie 的定义如下：

有没有办法可以更改应用程序创建的 cookie 的属性？

我想知道使用 malloc 和 free 的正确/标准方式是什么。free后是否需要设置指针NULL？基本上，以下两种方式哪一种是正确的？

或者

或者应该是其他方式使用malloc和free？谢谢。

正如安全编码网站所解释的：

Blockquote 这个不兼容的代码示例显示了一个带有私有构造函数的类 Ser，表明该类外部的代码应该无法创建它的实例。该类实现 java.io.Serializable 并定义公共 readObject() 和 writeObject() 方法。因此，不受信任的代码可以使用 readObject() 获取重构的对象，并可以使用 writeObject() 写入流。

如您所知，writeObject 和 readObject 方法应该被定义为私有（并且也没有 static 关键字！）并且这些方法不被 JVM 调用。

我的问题是：为什么这些方法不安全。这些方法甚至不被 JVM 调用！！我想要一个示例代码，向我展示此代码可能不安全，并且攻击者可以访问我们的数据。

任何帮助将不胜感激。

m trying to make an VB .NET Windows Form app that authenticate to my website by POST request! if user login info is valid it says "welcome" and application authentication is successful! my website is coded with php + mysql!

problem is it is insecure and can be bypassed by many techniques..

HOW TO MAKE SECURE APP IN VB .NET that auth server side? any method? please provide codes if possible!any code or any other best language to make it most secure?

我正在使用 Code Igniter 为我的客户开发一个 Web 应用程序，我需要在服务器上隐藏和保护一些 ZIP、JPG 和 PDF 文件，以便非用户无法访问它们。只有已登录且是“文件”所有者的人才能访问这些文件。这与安全文件共享网站非常相似。它与任何付费文件共享网站非常相似，例如只有付费文件的人才能下载文件。在我的情况下，只有那些已经上传并与其他人共享文件的人才能下载文件。请告诉我我该怎么做……谢谢萨吉德

我在 UAT - 的代码行中发现requireSSL="true"了不安全服务器（没有 SSL）中的属性 问题。web.config<httpCookies httpOnlyCookies="true" requireSSL="true" lockItem="true" />

对于 CSRF（跨站点请求伪造）修复，我们使用：

我们无法从不安全的服务器读取安全 cookie。因此，对于不安全的服务器，web.config 中的 requireSSL 属性应该为 false。

如果我们让requireSSL="false"CSRF 修复工作正常，但所有 cookie 都变得不安全，这会产生其他问题[Missing Secure Attribute in Encrypted Session (SSL) Cookie]。

我们还附加了 CSRF 修复代码，其中页面中的事件PreventCSRF()正在调用该函数。OnInit(EventArgs e)Default.aspx.cs

在本地，我们没有 SSL，requireSSL="false"可以正常使用 CSRF 修复，但不能用于[Missing Secure Attribute in Encrypted Session (SSL) Cookie]. 所以修复 CSRF 和[Missing Secure Attribute in Encrypted Session (SSL) Cookie]问题是相互依赖的。

有2个查询-

1. 与 UAT 一样，SSL 在负载平衡器级别进行管理，IIS 盒子中没有安装 SSL 证书。我们可以使用 读取安全 cookieRequest.Cookies[AntiXsrfTokenKey]吗？

2. 如果我们这样做了，requireSSL="false"那么 CSRF 修复工作正常，但所有 cookie 变得不安全意味着所有 cookie[Missing Secure Attribute in Encrypted Session (SSL) Cookie]的问题仍然存在。

当我在 HTTPS 页面中使用 Google 字体时，它被视为 chrome 中的“不安全脚本”。

有没有办法解决这个问题？

我得到这个：

http://snag.gy/9FAx3.jpg

我正在使用@import它来导入它。