Questions tagged «security»

与应用程序安全性和对软件的攻击有关的主题。请不要单独使用此标签,否则会造成歧义。如果您的问题与特定的编程问题无关,请考虑改为在Information Security SE上提问:https://security.stackexchange.com

3
如何关闭Oracle密码过期?
我正在使用Oracle进行开发。我一直用来重建数据库的引导程序帐户的密码已过期。 如何永久关闭此用户(和所有其他用户)的密码有效期? 我使用的是Oracle 11g,默认情况下密码已过期。
177 oracle  security 
8
双向加密:我需要存储可以检索的密码
我正在创建一个应用程序,该应用程序将存储用户可以检索和查看的密码。密码用于硬件设备,因此无法检查哈希。 我需要知道的是: 如何在PHP中加密和解密密码? 什么是最安全的密码加密算法? 我在哪里存储私钥? 除了存储私钥之外,要求用户在需要解密密码的任何时间都输入私钥是一个好主意吗?(可以信任此应用程序的用户) 密码可以通过什么方式被盗和解密?我需要注意什么?
14
reCaptcha是否已被破解/被黑客入侵/ OCR被打败/被破坏?[关闭]
这个问题不太可能对将来的访客有所帮助;它仅与较小的地理区域,特定的时间段或极为狭窄的情况(通常不适用于Internet的全球受众)有关。要获得使该问题更广泛适用的帮助,请访问帮助中心。 7年前关闭。 是否使用任何编程方法来击败reCAPTCHA? 我有兴趣看到证据,并可能证明完全自动化,无人值守的方法已使reCAPTCHA过时。 需要澄清的是,无论团队是否负责填写CAPCHA,色情搜索者或机械特克,都不要寻找任何涉及人类的reCAPTCHA作弊解决方案。 我也没有在寻找reCAPTCHA的替代方法,例如选择动物的类型,背景字段或JavaScript技巧。
9
准备好的语句如何防止SQL注入攻击?
准备好的语句如何帮助我们防止SQL注入攻击? 维基百科说: 准备好的语句可以抵御SQL注入,因为稍后需要使用其他协议传输的参数值不需要正确地转义。如果原始语句模板不是从外部输入派生的,则不会发生SQL注入。 我不太清楚原因。用简单的英语和一些例子,简单的解释是什么?
6
如何安全地存储用户密码?
这比普通的MD5安全多少?我刚刚开始研究密码安全性。我对PHP很陌生。 $salt = 'csdnfgksdgojnmfnb'; $password = md5($salt.$_POST['password']); $result = mysql_query("SELECT id FROM users WHERE username = '".mysql_real_escape_string($_POST['username'])."' AND password = '$password'"); if (mysql_num_rows($result) < 1) { /* Access denied */ echo "The username or password you entered is incorrect."; } else { $_SESSION['id'] = mysql_result($result, 0, 'id'); #header("Location: ./"); echo …
9
PHP $ _SERVER ['HTTP_HOST'] vs. $ _SERVER ['SERVER_NAME'],我是否正确理解手册页?
我做了很多搜索,还阅读了PHP $ _SERVER文档。对于在整个站点中使用的简单链接定义的PHP脚本,我是否有权使用该脚本? $_SERVER['SERVER_NAME'] 基于您的Web服务器的配置文件(在我的情况下为Apache2),并根据以下指令而有所不同:(1)VirtualHost,(2)ServerName,(3)UseCanonicalName等。 $_SERVER['HTTP_HOST'] 基于客户端的请求。 因此,在我看来,为了使我的脚本尽可能兼容而使用的适当的脚本将是$_SERVER['HTTP_HOST']。这个假设正确吗? 后续评论: 我想我在读完这篇文章并注意到有些人说“他们不会信任任何一个$_SERVER变量” 后,我有点偏执: http://markjaquith.wordpress.com/2009/09/21/php-server-vars-not-safe-in-forms-or-links/ http://php.net/manual/zh-CN/reserved.variables.server.php#89567(评论:弗拉基米尔·科尼亚(Vladimir Kornea)2009年3月14日01:06) 显然,这里的讨论主要是关于$_SERVER['PHP_SELF']为什么不适当地转义以防止XSS攻击就不应该在form action属性中使用它的原因。 我对上述原始问题的结论是$_SERVER['HTTP_HOST'],即使在表单中使用XSS攻击,也不必担心XSS攻击是安全的。 如果我错了,请纠正我。
167 php  apache  security  owasp 
17
如何处理缓慢的SecureRandom生成器?
如果您想要Java中具有加密强度的随机数,请使用SecureRandom。不幸的是,SecureRandom可能会很慢。如果/dev/random在Linux上使用,它将阻止等待足够的熵建立。您如何避免性能下降? 有没有人使用罕见数学作为解决此问题的方法? 有人可以确认在JDK 6中已经解决了此性能问题吗?
9
混淆UITextField密码
我正在做一个登录页面。我有UITextField作为密码。 显然,我不希望看到密码。相反,我希望键入时显示圆圈。您如何设置发生这种情况的领域?
162 ios  swift  iphone  security  ipad 
20
我应该对密码设置最大长度吗?
我可以理解,对密码施加最小长度是很有意义的(为了使用户免于自己的攻击),但是我的银行要求密码长度必须介于6到8个字符之间,我开始怀疑... 这难道不只是使暴力攻击更容易吗?(坏) 这是否意味着我的密码未加密存储?(坏) 如果有人(希望)有一些出色的IT安全专业人员正在为他们强加最大密码长度,我是否应该考虑做类似的事情?这有什么优点/缺点?
4
ASP.NET Identity的默认密码哈希器-它如何工作且安全?
我想知道MVC 5和ASP.NET Identity Framework随附的UserManager中默认实现的密码哈希器是否足够安全?如果可以的话,如果您能向我解释一下它是如何工作的? IPasswordHasher接口看起来像这样: public interface IPasswordHasher { string HashPassword(string password); PasswordVerificationResult VerifyHashedPassword(string hashedPassword, string providedPassword); } 如您所见,它并不需要花很多精力,但是在该线程中提到了这一点:“ Asp.net身份密码哈希 ”确实在后台添加了盐。所以我想知道它是如何做到的?这种盐从哪里来? 我担心的是盐是静态的,使其非常不安全。
11
Docker和保护密码
我最近一直在试验Docker,以构建一些可玩的服务,而一直困扰着我的一件事就是将密码放入Dockerfile中。我是一名开发人员,因此将密码存储在源代码中感觉像是一拳。这是否值得关注?关于如何处理Dockerfile中的密码是否有任何好的约定?
162 security  build  docker 
30
.NET模糊处理工具/策略
已关闭。这个问题是基于观点的。它当前不接受答案。 想改善这个问题吗?更新问题,以便通过编辑此帖子以事实和引用的形式回答。 6年前关闭。 改善这个问题 我的产品包含几个组件:ASP.NET,Windows Forms App和Windows Service。95%左右的代码是用VB.NET编写的。 出于知识产权的原因,我需要对代码进行混淆处理,直到现在为止,我一直在使用dotfuscator版本,该版本现已使用5年以上。我认为现在是时候使用新一代工具了。我正在寻找的是在寻找新的混淆器时应考虑的要求列表。 我知道到目前为止我应该寻找的是: 序列化/反序列化。在我当前的解决方案中,我只是告诉该工具不要混淆任何类数据成员,因为无法加载以前已序列化的数据的痛苦实在太大了。 与构建过程集成 使用ASP.NET。过去,由于更改.dll名称(每页通常有一个),我发现这是有问题的-并非所有工具都能很好地处理。
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.