Questions tagged «security»

已锁定。该问题及其答案被锁定，因为该问题是题外话，但具有历史意义。它目前不接受新的答案或互动。 我正在尝试建立可用于任意代码执行的功能列表。目的不是列出应列入黑名单或以其他方式不允许的功能。而是，当在受感染的服务器中搜索后门时，我希望有一个grep-able 红旗关键字列表。 这个想法是，如果您要构建多功能的恶意PHP脚本（例如c99或r57之类的“ Web Shell”脚本），则必须使用一个或多个相对较小的功能集文件中的某个位置，以便允许用户执行任意代码。搜索这些功能可以帮助您更快地将成千上万的PHP文件的范围缩小到需要仔细检查的相对较小的脚本集。 显然，例如，以下任何一项将被视为恶意（或可怕的编码）： <? eval($_GET['cmd']); ?> <? system($_GET['cmd']); ?> <? preg_replace('/.*/e',$_POST['code']); ?> 等等。 前几天，我在一个受感染的网站上进行搜索时，没有注意到一段恶意代码，因为我没有意识到preg_replace使用该/e标志可能会造成危险（这很严重？为什么甚至在那里也是如此？）。还有其他我想念的吗？ 到目前为止，这是我的清单： Shell执行 system exec popen backtick operator pcntl_exec PHP执行 eval preg_replace（带/e修饰符） create_function include[ _once] / require[ _once]（有关漏洞利用程序的详细信息，请参阅mario的答案） 列出能够修改文件的功能可能也很有用，但是我想99％的利用代码中至少会包含上述功能之一。但是，如果您具有能够编辑或输出文件的所有功能的列表，请将其发布，并将在此处包括在内。（而且我不算mysql_execute，因为这是另一类漏洞利用的一部分。）

277 php  security  grep 

我试图在我的Web API应用程序中支持JWT承载令牌（JSON Web令牌），但我迷路了。 我看到了对.NET Core和OWIN应用程序的支持。 我目前在IIS中托管我的应用程序。 如何在我的应用程序中实现此身份验证模块？有什么方法可以使用<authentication>与使用表单/ Windows身份验证类似的配置？

264 c#  security  asp.net-web-api  jwt 

已关闭。这个问题是基于观点的。它当前不接受答案。 想改善这个问题吗？更新问题，以便通过编辑此帖子以事实和引文回答。 4年前关闭。 改善这个问题 我在上设置了我的第一台Node.js服务器，cloud Linux node而我对的细节还很陌生Linux admin。（顺便说一句，我不想​​同时使用Apache。） 一切都已正确安装，但我发现除非使用，否则root login无法监听port 80node。但是出于安全原因，我宁愿不以root用户身份运行它。 最佳做法是： 为节点设置良好的权限/用户，使其安全/沙盒化？ 允许在这些限制内使用端口80。 启动节点并自动运行它。 处理发送到控制台的日志信息。 任何其他常规维护和安全问题。 我应该将端口80流量转发到其他监听端口吗？ 谢谢

260 linux  node.js  security  web-applications  configuration 

按照目前的情况，这个问题不适合我们的问答形式。我们希望答案会得到事实，参考或专业知识的支持，但是这个问题可能会引起辩论，争论，民意测验或进一步的讨论。如果您认为此问题可以解决并且可以重新提出，请访问帮助中心以获取指导。 8年前关闭。 这个问题讨论了不同的付款处理者以及它们的成本，但是我正在寻找答案，如果我想接受信用卡付款该怎么办？ 假设我需要为客户存储信用卡号，以便依靠信用卡处理器完成繁重工作的明显解决方案不可用。 PCI数据安全性，显然是存储信用卡信息的标准，有很多一般要求，但是如何实现这些要求？ 那么像Visa这样的拥有最佳实践的供应商呢？ 我是否需要通过钥匙扣访问机器？物理上保护建筑物免受黑客攻击怎么办？甚至如果有人将备份文件与SQL Server数据文件放在一起，该怎么办？ 备份呢？周围是否还有该数据的其他物理副本？ 提示：如果您有商家帐户，则应协商确定他们向您收取“交换加”费用，而不是分层定价。 使用分层定价，他们将根据您使用的Visa / MC类型对您收取不同的费用-即 他们会向您收取更多附有丰厚奖励的卡。交换加计费意味着您只需要向处理方支付Visa / MC向其收取的费用，外加固定费用。（Amex和Discover直接向商家收取自己的费率，因此不适用于这些卡。您会发现Amex费率在3％范围内，Discover可能低至1％。Visa / MC在2％的范围）。 该服务应该为您进行协商（我没有使用过，这不是广告，并且我不隶属于该网站， 这篇博文提供了处理信用卡（特别是在英国）的完整摘要。 也许我说错了这个问题，但是我正在寻找这样的提示： 使用SecurID或eToken将附加的密码层添加到物理盒中。 确保盒子在有物理锁或钥匙密码组合的房间里。

258 security  e-commerce  pci-dss 

我的Web应用程序使用会话来存储有关用户登录后的信息，并在用户在应用程序中逐页浏览时维护该信息。在这个特定的应用程序，我存储user_id，first_name和last_name人的。 我想在登录时提供一个“保持登录状态”选项，该选项将cookie放置在用户计算机上两周，当他们返回应用程序时，将使用相同的详细信息重新开始会话。 这样做的最佳方法是什么？我不想将其存储user_id在cookie中，因为这似乎会使一个用户易于尝试伪造另一位用户的身份。

257 php  security  session  remember-me 

与支持最高支持TLS 1.2多少服务器通信的默认安全协议是什么？将.NET在默认情况下，选择支持在服务器端安全性最高的协议或做我必须明确地添加此行代码： System.Net.ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls | SecurityProtocolType.Tls11 | SecurityProtocolType.Tls12; 除了更改代码外，还有其他方法可以更改此默认设置吗？ 最后，.NET 4.0仅支持最多TLS 1.0？即我必须将客户项目升级到4.5以支持TLS 1.2。 我的动机是SSLv3即使服务器支持它也要删除对客户端的支持（我已经有一个Powershell脚本在计算机注册表中禁用它），并支持服务器支持的最高TLS协议。 更新： 纵观ServicePointManager类.NET 4.0我看不出有什么枚举值TLS 1.0和1.1。两者.NET 4.0/4.5的默认值为SecurityProtocolType.Tls|SecurityProtocolType.Ssl3。希望此默认设置不会因禁用SSLv3注册表而中断。 但是，我已经决定必须将所有应用程序升级到所有应用程序的所有引导代码，.NET 4.5并明确添加SecurityProtocolType.Tls | SecurityProtocolType.Tls11 | SecurityProtocolType.Tls12;它们。 这将向各种api和服务发出出站请求，而不会降级到api，SSLv3因此应选择的最高级别TLS。 这种方法听起来合理还是过度？我有许多应用程序需要更新，我想对它们进行将来的验证，因为我听说TLS 1.0某些提供商甚至可能会在不久的将来弃用这些应用程序。 作为客户端向API发出出站请求时，在注册表中禁用SSL3甚至会对.NET框架产生影响吗？我看到默认情况下未启用TLS 1.1和1.2，我们是否必须通过注册表启用它？RE http://support.microsoft.com/kb/245030。 经过一番调查，我认为注册表设置不会有任何影响，因为它们适用于IIS（服务器子项）和浏览器（客户端子项）。 抱歉，该帖子变成了多个问题，随后给出了“也许”答案。

253 .net  security  ssl 

在对数据库存储的密码进行哈希处理时，我一直使用正确的按条目输入的盐字符串。出于我的需要，将盐存储在数据库中散列密码旁边一直很好。 但是，有些人建议将盐与数据库分开存储。他们的论据是，如果数据库遭到破坏，攻击者仍然可以构建一个彩虹表，并考虑到特定的盐字符串，以便一次破解一个帐户。如果该帐户具有管理员权限，那么他甚至不需要破解任何其他帐户。 从安全角度来看，将盐存储在其他位置是否值得？考虑在同一台计算机上具有服务器代码和数据库的Web应用程序。如果将盐类存储在该计算机上的平面文件中，则很有可能如果数据库遭到破坏，则盐类文件也会被破坏。 有什么建议的解决方案吗？

250 security  authentication  hash  cryptography  salt 

我在开发人员控制台中收到很多错误： 拒绝评估字符串 拒绝执行内联脚本，因为它违反了以下内容安全策略指令 拒绝加载脚本 拒绝加载样式表 这是怎么回事？内容安全策略如何工作？如何使用Content-Security-PolicyHTTP标头？ 具体来说，如何... ...允许多个来源？ ...使用不同的指令？ ...使用多个指令？ ...处理端口？ ...处理不同的协议？ ...允许的file://协议？ ...使用内联样式，脚本和标签<style>以及<script>？ ...允许eval()吗？ 最后： 到底是什么'self'意思？

248 javascript  html  security  http-headers  content-security-policy 

通过HTTPS请求的内容是否仍将由网络浏览器缓存，或者它们是否认为这种不安全行为？如果是这种情况，无论如何告诉他们可以缓存吗？

245 security  https 

为了减轻对内核或跨进程的内存泄露（在幽灵攻击），Linux内核1将用新的选项进行编译，-mindirect-branch=thunk-extern推出gcc通过一个所谓的执行间接调用retpoline。 这似乎是一个新发明的术语，因为Google搜索仅在最近才使用（通常在2018年全部使用）。 什么是retpoline？它如何防止最近发生的内核信息泄露攻击？ 1它不是特定于Linux的-类似或相同的构造似乎被用作其他OS 的缓解策略的一部分。

244 security  assembly  x86  cpu-architecture 

我最近在维修矿井时使用了我们公司的备用笔记本电脑（已设置了一般用户）。登录数据库时，我已经在SQL Server Management Studio中选中了“记住密码”选项。 我需要清除用于防止下一个将使用笔记本电脑的人使用我的登录名和密码的登录名和密码信息。我怎样才能做到这一点？

235 sql-server  security  login  ssms 

在普通的PHP安装中进行双向加密的最简单方法是什么？ 我需要能够使用字符串密钥加密数据，并在另一端使用相同的密钥进行解密。 安全性不像代码的可移植性那么重要，因此我希望能够使事情尽可能简单。当前，我正在使用RC4实现，但是如果可以找到本机支持的东西，那么我可以节省很多不必要的代码。

230 php  security  encryption  cryptography  encryption-symmetric 

我正在尝试使用Java使用SFTP（而不是FTPS）从服务器检索文件。我怎样才能做到这一点？

228 java  ftp  sftp  security 

我有一个Bash脚本，可用于访问Twitter并在某些情况下弹出Growl通知。用脚本存储密码的最佳方法是什么？ 我想将此脚本提交到git repo并使其在GitHub上可用，但是我想知道在执行此操作时保持我的登录名/密码为私有的最佳方法是什么。当前，密码存储在脚本本身中。我不能在推送之前立即删除它，因为所有旧提交都将包含密码。没有密码进行开发不是一种选择。我想我应该将密码存储在一个外部配置文件中，但是我想我会先检查一下是否有确定的方法来处理此问题，然后再尝试将它们放在一起。

225 git  bash  security  github  passwords 

如何使用Windows SDK中的工具创建用于代码签名的自签名证书？

225 security  code-signing