问题标签 [secure-coding]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
java - CheckMarx XSRF 攻击问题
我有一个 REST 控制器,它有一个deleteStudent接受两个参数
的方法,studentId即 isLong和sectionwhich is String。
对于上面的代码 checkmarx 抱怨这个参数值流经代码,最终用于修改数据库内容。应用程序不需要为请求更新用户身份验证。这可能会启用跨站点请求伪造 (XSRF)。
我在 Htmlutils.htmlescape部分尝试过(来自spring web util)但没有运气。
如何摆脱这个 checkmarx 问题?
如果字段是 Long 类型,那么 XSRF 和 SQL 注入攻击是如何可能的?
jquery - jQuery 小部件加密初始化变量
很长一段时间以来,我一直在寻找这个问题的好答案,但是我找不到任何好的解决方案来解决我的问题。
所以,我想创建一个可以在客户网站上实现的 jQuery 小部件。但是,这个小部件必须通过一个 APIKey 进行初始化,我想对没有访问客户页面的客户保密。
因此,我考虑了必须在 PHP、Perl 等大多数主要脚本语言中存在的加密。例如 hash_hmac... 否则,可以提取 APIKey,但也可以复制加密的字符串。除此之外,我也一直在考虑设置握手,但是对于这次握手,我还需要 APIKey 来授权握手......
这是一个问题,因为小部件将显示的内容。
因此,我的问题是: 你们对我有什么好主意或解决方案,以便我可以在客户网站上安全地实施我的小部件,从而使用对客户网站访问者安全的 APIKey?
提前致谢。
secure-coding - 寻找安全代码IDE
我需要一个能够在我的代码中发现问题的 IDE,我尝试过的那些问题还不够好……我已经尝试过 Eclipse 和 IntelliJ IDEA。有什么好的选择吗?谢谢..
java - 密钥安全 - 如何确保密钥安全?
假设有一个密钥加密密钥在内存中并且没有写入文件或数据库......
并假设密钥加密密钥是临时的,而数据加密密钥可能是临时的,也可能不是临时的。
你怎么保护kek?
你如何确保kek永远不会写入虚拟内存?
您如何确保kek不被其他应用程序(例如 CheatEngine)读取?
您如何确保kek由应用程序生成kek并且kekHash不被另一个应用程序操纵以使其使用对手的密钥?
我听说过“软件 HSM”。他们使用了哪些令人惊叹的技术来确保他们存储的密钥安全?
javascript - 隐藏内容以防止在 JavaScript 制作的游戏中作弊
我知道完全防止用户作弊和/或破解 Web 应用程序是不可能的,但我发现的这个漏洞很容易找到,它真的应该被堵住。
https://mcthompsonatl.github.io/
我实际上并没有编写任何代码。我得到了一个非常基本的“找到所有 6 个对象”(在本例中为钥匙)猜谜游戏,这是一位前雇员(他不是职业程序员)为我们的一个客户的促销而写的。逻辑是合理的,它需要一些格式化工作,但是在开发者模式下测试它时,我花了很少的时间发现只需检查每个类就可以轻松赢得<div>游戏card。因为这是用于促销比赛,所以我一直在尝试找出一种方法来隐藏或更改破坏游戏的代码,以便在开发人员模式下检查任何卡片都不会显示任何提示。
我能找到的一种解决方案是将卡片元素更改为多个 HTML5 Canvas 元素。这样做的两个问题是 1. 我使用 Canvas 的经验为零; 2. 即使我这样做了,这似乎也是一项极其漫长而痛苦的任务,我不确定我是否会被允许d 需要学习足够的知识来解决问题。这是可以用 PHP 隐藏的东西吗?我在这里找到一个明智的解决方案有点难过。任何帮助表示赞赏。
c++ - gcc arm中的strncpy替换
在 arm 中没有strncpy()适当的等效项,它将同时使用目标大小和要复制的源字符数,
所以在这里我们只需要使用strlcpy()并希望源字符串为空终止吗?
MS提供了一个完美的(至少看起来是;)):
StringCchCopyN(LPTSTR pszDest, size_t cchDest, LPCTSTR pszSrc, size_t cchSrc);
对于外行来说,strncpy()是不安全的(为什么 strncpy 是不安全的] 1)。
cryptography - RSA双向解密?
我一直在尝试在 python (cryptography.hazmat.primitives.asymmetric) 中使用 RSA 加密。我有以下设置:一方面是具有公钥的客户端将加密数据发送回服务器,该服务器持有私钥。现在我已经进行了单向加密,但我想知道你将如何(或者如果你应该)安全地解密消息客户端。我曾想过只是加密私钥并存储它,但随后密码会出现在代码中并使密钥暴露在泄露中。有没有办法通过密钥交换安全地实现这一点?或者——最有可能的选择——这是对协议的滥用吗?
编辑:想要澄清这里可能的担忧是,以这种方式使用 RSA 可能会暴露文件系统上或服务器和客户端之间的私钥。
security - Struts 中的默认会话超时值是多少?
我有一个 java 代码,我正在审查它的安全漏洞。该代码是使用 Apache Struts 框架开发的。代码中未设置会话超时。据我所知,只要框架没有设置默认会话超时值,这表明存在过多的会话超时漏洞。
php - 如何保护 PHP 源代码?
有什么方法可以保护你的整个代码?或一些重要文件。即使将其部署到其他服务器(例如客户端服务器),也无法更改其他服务器。
或者我们可以创建任何可由 Apache 服务器运行的 DLL 文件(不可更改)并验证需求。
.net-core - .Net Core 在 AWS 中存储私钥
我正在实施一个安全系统(使用 .Net Core 2.0 ),其中需要生成密钥对(公共和私有)并将公共密钥传输给接收者。目前我确实生成了密钥对(使用 .Net Core Crypto 库)并将私钥保存在数据库中。我需要在 AWS EC2 实例中托管它。
我知道这是一种不好的做法(将私钥存储在数据库中),我需要在安全保险库(AWS?)中生成这些密钥并将私钥保存在保险库本身中。当需要解密时,应用程序需要获取对应的私钥。
我浏览了许多AWS 文档,但找不到满足我要求的明确答案。如果有人可以为我提供一些关于如何实现这一目标的明确说明,那就太好了。