问题标签 [websecurity]

有人可以告诉我为什么我会看到以下错误消息：

尝试使用 Webscarab 完成 WebGoat Web 服务 SQL 注入时？我在赢。谢谢你。

我不是 Heroku 的客户，只是一个普通的老用户。

但是，我从 herokuapp.com 地址收到源源不断的网络攻击。它们被我的安全软件 (Norton) 阻止，但是 (a) 它们正在影响我系统的性能；(b) 如果我的安全措施暂时关闭，我恐怕会被感染。

我能做些什么来阻止攻击。我可以让 Heroku 阻止他们吗？有电话可以举报吗？这是数据...

请原谅初学者的问题。欢迎提出建议、链接和进一步阅读。

我担心网页的安全性并寻找最佳实践。当使用 PHP 连接到 MariaDB/MySQL 数据库时，大多数建议将数据库密码放在 PHP 页面（或包含的页面）上。这安全吗？有更好的“最佳实践”吗？

我用“哈希密码 MySQL MariaDB PHP7”等关键字搜索了文档、Stack Overflow 和互联网，但答案都是关于客户端登录到网页，而不是 PHP 直接与 MariaDB 交互。MySQL Docs说密码是为了存储而散列的，但这对我的 PHP 文件没有帮助。PHP 文档没有提供太多有用的信息，也没有实际示例。

所以，我的问题：

1. HTTP 用户下载我的源文件并查看这些密码的风险有多高？（我意识到 PHP 会解析页面，因此一般用户不会看到原始代码或能够下载 PHP——而 ssh、PHP、MariaDB 等的安全性是一个单独的问题。）

2. 我知道我可以散列密码，但是如果密码就在同一页面上，这有什么用？（或者我错过了什么？）

3. 将数据库变量放在文件中，还是使用 include("super-sensitive-info.php")并将变量放在那里更好/更安全？我可以（应该）散列或加密那个文件或密码，并且仍然可以使用吗？我可以（我应该）隐藏这个文件，例如.super-sensitive-info.php），然后使用服务器安全来限制访问吗？

4. 而且，使用特殊字符给我带来了麻烦，例如，按照典型的代码在引号中的做法，$password = "pa$$w@rd";应该看起来像吗？$password = "pa\$\$w\@rd";还是我错过了我不应该在 SQL 中使用特殊字符的备忘录？

创建一个简单的示例，假设我有两个文件，看起来像这样。有没有更好的办法？还是这个？

超级敏感信息.php

索引.php

目标

允许浏览器与本地运行的服务交换信息。允许服务找出运行浏览器的用户（Windows 中的登录会话）。如果可能，请避免在机器上存储 TLS 证书和私钥。奖励任务：为卡巴斯基或 Sophos 等防病毒软件代理所有 TCP 连接的设置提供解决方案。

故事

底层操作系统是 Windows，但可以是任何现代操作系统。系统中有一个守护进程正在运行。对于 Windows，这是一项 Windows 服务。Internet 浏览器从远程服务器加载了一个 JavaScript，它将数据发送到守护进程。守护程序没有 HTTP/HTTP 服务器。相反，守护进程打开 N 个端口并侦听传入连接。N 是低两位数。

JS 向 N 范围内的一组选定端口 K 发起 TCP 连接。在当前实现中，JS 尝试从 127.0.0.1:port-number 加载 JS 脚本。守护进程接受连接并立即关闭它（有点敲门）。守护进程从 JS “敲门”的端口中恢复数据。

在当前实现中，后端选择一个唯一的端口元组，例如 3 个端口组合。元组是标识浏览器会话的键。该服务收集“敲门”——特定操作系统进程访问的端口。该服务使用收集的端口查询后端。

该解决方案的目标之一是避免在服务中实施 HTTP/HTTPS 服务器并节省 SSL 证书的维护。

问题

• JS 连接端口的顺序没有定义。具体来说，两个浏览器可以同时运行敲击会话。
• 该服务可能无法打开范围 N 中的某些端口，因为这些端口很忙。

顺序并不重要，因为服务器从范围 N 中选择了一个唯一的组合。我需要系统容忍丢失的端口。我正在考虑选择多个元组并使用多个范围 N。

问题

我怎样才能采用FEC来解决这个问题？设计有意义吗？

最近我一直在思考标题中提到的一个问题。

正如OWASP在他们的规则 #1 中建议我们的那样，在将用户输入插入 HTML 页面之前应该做一些 HTML 转义。

但是，在以下情况下：

<tag>用户输入</tag>

<tag 属性="userInput"></tag>

如果我只转义 4 个字符：< > ' "，而不是 &，是否有任何有效负载可能导致 XSS？请注意 userInput 中的 " 无法关闭属性。

或者有没有必须转义字符 & 的情况，否则会有 XSS 漏洞存在？

我知道标题听起来令人困惑，所以这就是我想知道的：

假设我有一个用户可以登录的页面，位于https://example.com/login. 页面中的表单如下所示：

脚本https://example.com/api/auth/login检查用户指定的用户名和密码是否正确。然后它会适当地响应 JSON。

但是，可以action通过执行重复请求来获取属性中的此链接并猜测用户名和密码。作为开发人员，我应该怎么做才能防止此类攻击的发生？

我想知道当从另一个域设置 cookie 时，现代网络浏览器是否仍然容易受到“跨站点烹饪”攻击？

PWA 可以充当浏览器吗？或者从技术上讲：PWA 概念是否允许显示其他网页的预览，而不管它们的 X 帧选项或类似设置如何？

我自己目前并没有追求具体的想法；相反，我感兴趣的是当前技术是否允许将诸如 Feedly 之类的应用程序转换为 PWA，其原生应用程序允许在不离开应用程序的情况下查看网页。

我从网络安全开始，我必须控制门户上的缓存，这个门户有很多网址。我知道我需要用这个设置标题：

但我的问题是：上面的代码对我想要控制的所有 url 都有效（你知道缓存），或者我如何为所有 url 或特定的 url 设置此属性？

我有一个在 AWS 的 EC2 实例中运行的 Spring Boot 应用程序。它基本上为其他应用程序公开了 REST 端点和 API。现在我想改进我的应用程序的安全措施，例如防止 DDoS 攻击、来自恶意主机的请求以及使用我们自己的证书进行通信。我遇到了亚马逊警卫职责，但我不明白它如何帮助保护我的应用程序以及有哪些替代方案？欢迎任何建议和指导。