问题标签 [secure-coding]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
asp.net - 在经过身份验证的站点内使用 Target="_blank" 的行业最佳实践是什么?
我有一个经过身份验证的站点,在该站点内部,我可以向我的用户发送消息。登录到安全站点时,我进行了集成,允许用户在用户门户和公共站点内漫游站点,而不会丢失安全连接。我有一个指向 PDF 的链接,并添加了 Target="_blank",以便用户可以单击它,查看 PDF,而不是离开站点查看 PDF。
当用户单击 PDF 时,系统会提示他们一条消息,说明您将离开受保护的站点以查看此 PDF,即使现有窗口中的安全连接仍然存在。
从用户体验的角度来看,最佳实践是什么?在新选项卡/窗口中打开 PDF 同时保持现有选项卡与安全站点一起打开是否正确?
提前致谢!
php - 云应用程序和 PHP/LDAP 连接的安全性
我正在开发一个企业云应用程序,并且正在解决我在使用 PHP LDAP 库连接到客户网络以检索用户对象时将面临的安全问题。
首先,我的客户必须向我的网络服务器开放他们的网络,这对许多人来说是一个巨大的安全风险。大多数人甚至会拒绝创建仅允许来自我的公共 IP 的 LDAP 查询的防火墙规则。
其次,连接必须始终保持可用,以便我的应用程序可以轮询和检测新的、禁用的和删除的用户对象。这进一步增加了我的客户的风险因素。
第三个问题是确保我只获得对我的客户 AD 服务器的读取权限 - 我如何确保我的客户不会意外地授予我们对其 AD 的写入权限?我可以使用 PHP 查询提供的域帐户的权限,如果包含写入,则拒绝接受/存储凭据?
有没有人有更好的建议?我可以在我的终端上建立一个 API 来监听和接受来自我的客户可以托管的脚本的指令,但这很麻烦——不过肯定会解决安全问题。
连接到 LDAP 服务器的方法有很多,但关于从公共网络上的服务器与专用网络中的 LDAP 服务器同步的最佳方法的文章并不多。
迫切需要建议:)
谢谢!
android - Android 文件托管 - 仅允许应用访问其驱动器
我一直在寻找,但找不到我要找的东西。所以我希望你能帮助我。这就是我想做的...
我想写一个电视应用程序。该应用程序需要有一个频道列表(保存在文本文件中)。我知道如何做到这一点,但我需要帮助以允许用户与其他用户共享他们的频道。所以这是我的想法...
我可以设置一个谷歌驱动器、保管箱等...以便用户可以向/从这个共享驱动器上传/下载频道(文本文件)(我将拥有这个驱动器,只有我可以访问它)
当用户在我的应用程序中浏览新频道时,我的应用程序应该从驱动器中获取文件列表,然后在屏幕上显示这些文件名。然后用户选择其中一个文件,应用程序将从所选文件中导入频道。
当用户想要分享他们的频道时,他们点击我的应用程序中的分享按钮。该应用程序会将频道保存到文本文件中,然后将此文件上传到云端硬盘。
我的问题是,我如何编写代码来安全地访问驱动器并且只允许我的应用程序访问该文件。我不希望任何人或任何其他应用访问我的云端硬盘。
谢谢。
c# - 在 C# 中使用静态变量会妨碍安全编码实践吗?
我是 C# 编程的新手,我目前在我的代码中使用了许多静态变量。下面是一个例子:
- 静态变量i可用于该类中的所有函数。
- 然后是I ,它与代码中的每个函数共享i ,因为它是公开的。- 不知道我是否应该这样做。
我确实找到了关于在 C# 中使用静态变量的线程,但我想知道,从安全角度来看,这是否是一种标准做法。我担心变量在整个程序执行过程中驻留在内存中的同一位置。
一般来说,有没有其他更好的方法可以在各种函数之间共享一个变量。
c - 清除堆栈上的变量
代码片段:
key我需要在 ing之前从堆栈中清除变量的值return(如代码所示)。
如果您好奇,这是一个实际的客户需求(嵌入式域)。
java - 如果类不是最终的,如何利用 Java 易受攻击的代码,允许被克隆等
我不知道我是否没有看到明显的东西......我正在阅读这些关于安全编码的建议:http ://www.javaworld.com/article/2076837/mobile-java/twelve-rules-for-developing -more-secure-java-code.html
如果我们不将类或方法声明为 final,攻击者可能会在字节码中覆盖或扩展它们,因此他可以将自己的恶意代码放入字节码中,但我不清楚攻击是如何进行的完全的。我的意思是,如何让程序使用扩展类而不是原始类......例如,如果我们有一个程序:
并且攻击者创建了另一个恶意类:
如何欺骗程序、用户或任何你需要欺骗的东西,以便程序使用 TheMaliciousClass 而不是 TheClass?也许我没有正确理解这一点,攻击是以其他方式完成的......无论如何,我会很感激任何解释。非常感谢!!
在 OWASP 中,他们还谈到了“终结性”中的这个安全漏洞:https ://www.owasp.org/index.php/Java_leading_security_practice
c# - 无溢出检查的整数运算
嗨,我刚刚对我的代码进行了静态代码分析,但我不断收到错误消息
“没有溢出检查的整数运算”
有人可以帮我解决这个问题或告诉我它的确切含义。我已经尝试使用 check 关键字来解决这个问题,但是当我运行代码时它仍然出现。
ASPX
checkmarx - CheckMarx 给出的变量应该被清理和验证
我们在nodejs中有以下代码
当 checkmarx 找到上面的代码时,它说我应该被清理和验证。谁能帮忙解决这个问题?
提前致谢
java - 如何在 ubuntu 14.04.2 上安装 Jlint-3.0?
我尝试在 Ubuntu 14.04.2 上安装 jlint-3.0 以对 java .class 文件进行静态代码分析。我得到的错误:
我该如何解决这个错误?
java - HP Fortify 警告
我正在从 ant 集成构建运行 HP Fortify SCA 并收到错误/警告。我悲惨地不知道发生了什么,谷歌并没有太大帮助。
1) [警告]:无法解析以下对 java 符号的引用。请确保向 SCA 提供包含这些符号的所有必需 jar 文件。值得注意的是,所有这些类都是源代码的内部类,两个方法来自 .jar 文件。源代码和 .jar 都在 classpth 中
2) [错误]:解析文件时出现意外异常 3) [警告]:翻译文件时出现意外异常 对于 (2) 和 (3),在错误日志中 Fortify 因
NullPointerException 和某些 IndexOutOfBoundException 而失败。