问题标签 [websecurity]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
security - 来自 herokuapp.com 地址的 Web 攻击——如何阻止
我不是 Heroku 的客户,只是一个普通的老用户。
但是,我从 herokuapp.com 地址收到源源不断的网络攻击。它们被我的安全软件 (Norton) 阻止,但是 (a) 它们正在影响我系统的性能;(b) 如果我的安全措施暂时关闭,我恐怕会被感染。
我能做些什么来阻止攻击。我可以让 Heroku 阻止他们吗?有电话可以举报吗?这是数据...
php - MySQL / MariaDB 是否为 PHP (7.x) mysqli_connect 散列数据库密码?
请原谅初学者的问题。欢迎提出建议、链接和进一步阅读。
我担心网页的安全性并寻找最佳实践。当使用 PHP 连接到 MariaDB/MySQL 数据库时,大多数建议将数据库密码放在 PHP 页面(或包含的页面)上。这安全吗?有更好的“最佳实践”吗?
我用“哈希密码 MySQL MariaDB PHP7”等关键字搜索了文档、Stack Overflow 和互联网,但答案都是关于客户端登录到网页,而不是 PHP 直接与 MariaDB 交互。MySQL Docs说密码是为了存储而散列的,但这对我的 PHP 文件没有帮助。PHP 文档没有提供太多有用的信息,也没有实际示例。
所以,我的问题:
HTTP 用户下载我的源文件并查看这些密码的风险有多高?(我意识到 PHP 会解析页面,因此一般用户不会看到原始代码或能够下载 PHP——而 ssh、PHP、MariaDB 等的安全性是一个单独的问题。)
我知道我可以散列密码,但是如果密码就在同一页面上,这有什么用?(或者我错过了什么?)
将数据库变量放在文件中,还是使用
include("super-sensitive-info.php")
并将变量放在那里更好/更安全?我可以(应该)散列或加密那个文件或密码,并且仍然可以使用吗?我可以(我应该)隐藏这个文件,例如.super-sensitive-info.php
),然后使用服务器安全来限制访问吗?而且,使用特殊字符给我带来了麻烦,例如,按照典型的代码在引号中的做法,
$password = "pa$$w@rd";
应该看起来像吗?$password = "pa\$\$w\@rd";
还是我错过了我不应该在 SQL 中使用特殊字符的备忘录?
创建一个简单的示例,假设我有两个文件,看起来像这样。有没有更好的办法?还是这个?
超级敏感信息.php
索引.php
tcp - 使用端口敲击在浏览器和本地运行的服务之间可靠地传递信息
目标
允许浏览器与本地运行的服务交换信息。允许服务找出运行浏览器的用户(Windows 中的登录会话)。如果可能,请避免在机器上存储 TLS 证书和私钥。奖励任务:为卡巴斯基或 Sophos 等防病毒软件代理所有 TCP 连接的设置提供解决方案。
故事
底层操作系统是 Windows,但可以是任何现代操作系统。系统中有一个守护进程正在运行。对于 Windows,这是一项 Windows 服务。Internet 浏览器从远程服务器加载了一个 JavaScript,它将数据发送到守护进程。守护程序没有 HTTP/HTTP 服务器。相反,守护进程打开 N 个端口并侦听传入连接。N 是低两位数。
JS 向 N 范围内的一组选定端口 K 发起 TCP 连接。在当前实现中,JS 尝试从 127.0.0.1:port-number 加载 JS 脚本。守护进程接受连接并立即关闭它(有点敲门)。守护进程从 JS “敲门”的端口中恢复数据。
在当前实现中,后端选择一个唯一的端口元组,例如 3 个端口组合。元组是标识浏览器会话的键。该服务收集“敲门”——特定操作系统进程访问的端口。该服务使用收集的端口查询后端。
该解决方案的目标之一是避免在服务中实施 HTTP/HTTPS 服务器并节省 SSL 证书的维护。
问题
- JS 连接端口的顺序没有定义。具体来说,两个浏览器可以同时运行敲击会话。
- 该服务可能无法打开范围 N 中的某些端口,因为这些端口很忙。
顺序并不重要,因为服务器从范围 N 中选择了一个唯一的组合。我需要系统容忍丢失的端口。我正在考虑选择多个元组并使用多个范围 N。
问题
我怎样才能采用FEC来解决这个问题?设计有意义吗?
security - 为什么要在 XSS 预防中将 & 转换为 & ?
最近我一直在思考标题中提到的一个问题。
正如OWASP在他们的规则 #1 中建议我们的那样,在将用户输入插入 HTML 页面之前应该做一些 HTML 转义。
但是,在以下情况下:
<tag>用户输入</tag>
<tag 属性="userInput"></tag>
如果我只转义 4 个字符:< > ' ",而不是 &,是否有任何有效负载可能导致 XSS?请注意 userInput 中的 " 无法关闭属性。
或者有没有必须转义字符 & 的情况,否则会有 XSS 漏洞存在?
security - 什么是阻止对 HTML 表单中 action 属性中的链接的攻击?
我知道标题听起来令人困惑,所以这就是我想知道的:
假设我有一个用户可以登录的页面,位于https://example.com/login
. 页面中的表单如下所示:
脚本https://example.com/api/auth/login
检查用户指定的用户名和密码是否正确。然后它会适当地响应 JSON。
但是,可以action
通过执行重复请求来获取属性中的此链接并猜测用户名和密码。作为开发人员,我应该怎么做才能防止此类攻击的发生?
xss - 现代网络浏览器是否仍然容易受到跨站点烹饪的影响?
我想知道当从另一个域设置 cookie 时,现代网络浏览器是否仍然容易受到“跨站点烹饪”攻击?
http-headers - 在渐进式 webapp 中预览网页?
PWA 可以充当浏览器吗?或者从技术上讲:PWA 概念是否允许显示其他网页的预览,而不管它们的 X 帧选项或类似设置如何?
我自己目前并没有追求具体的想法;相反,我感兴趣的是当前技术是否允许将诸如 Feedly 之类的应用程序转换为 PWA,其原生应用程序允许在不离开应用程序的情况下查看网页。
java - 如何为多个 url 设置 Cache-Contro
我从网络安全开始,我必须控制门户上的缓存,这个门户有很多网址。我知道我需要用这个设置标题:
但我的问题是:上面的代码对我想要控制的所有 url 都有效(你知道缓存),或者我如何为所有 url 或特定的 url 设置此属性?
amazon-web-services - Amazon-Guard-Duty 用于我在 AWS 上运行的 Spring Boot 应用程序
我有一个在 AWS 的 EC2 实例中运行的 Spring Boot 应用程序。它基本上为其他应用程序公开了 REST 端点和 API。现在我想改进我的应用程序的安全措施,例如防止 DDoS 攻击、来自恶意主机的请求以及使用我们自己的证书进行通信。我遇到了亚马逊警卫职责,但我不明白它如何帮助保护我的应用程序以及有哪些替代方案?欢迎任何建议和指导。