Вопросы с тегом 'security'

Темы, касающиеся безопасности приложений и атак на программное обеспечение. Пожалуйста, не используйте этот тег самостоятельно, что приводит к двусмысленности. Если у вас есть вопрос не о конкретной проблеме программирования, пожалуйста, подумайте, не спрашивая его в Security Security SE: https://security.stackexchange.com
12
ответов

Окончательное руководство по аутентификации на основе форм

Проверка подлинности на основе форм для веб-сайтов Мы полагаем, что Qaru должен быть не просто ресурсом по очень конкретным техническим вопросам, но и для общих рекомендаций по устранению вариаций общих проблем. "Проверка подлинности на основе форм...
задан 02 авг. '08 в 22:51
6
ответов

Почему Google добавляет пока (1); к их ответам JSON?

Почему Google добавляет while(1); в свои (частные) ответы JSON? Например, здесь ответ при включении и выключении календаря в Календаре Google: while(1);[['u',[['smsSentFlag','false'],['hideInvitations','false'], ['remindOnRespondedEventsOnly','t...
задан 19 апр. '10 в 21:00
17
ответов

Почему char [] предпочитается над String для паролей?

В Swing поле пароля имеет метод getPassword() (возвращает char[]) вместо обычного метода getText() (возвращает String). Точно так же я столкнулся с предложением не использовать String для обработки паролей. Почему String создает угрозу безопасности...
задан 16 янв. '12 в 17:20
28
ответов

Как я могу предотвратить SQL-инъекцию в PHP?

Если пользовательский ввод вставлен без изменения в SQL-запрос, приложение становится уязвимым для SQL-инъекции, как в следующем примере: $unsafe_variable = $_POST['user_input']; mysql_query("INSERT INTO `table` (`column`) VALUES ('$unsafe_variabl...
задан 13 сент. '08 в 2:55
26
ответов

Как я должен придерживаться этического подхода к хранилищу паролей пользователей для последующего поиска в открытом виде?

Поскольку я продолжаю создавать все больше и больше веб-сайтов и веб-приложений, мне часто просят хранить пароли пользователей таким образом, чтобы их можно было получить, если/когда у пользователя возникла проблема (либо отправить по электронной поч...
задан 17 февр. '10 в 22:54
14
ответов

Безопасный хэш и соль для паролей PHP

В настоящее время говорят, что MD5 является частично небезопасным. Принимая это во внимание, я хотел бы знать, какой механизм использовать для защиты паролем. Этот вопрос, Является ли "двойной хэширование" паролем менее безопасным, чем просто его ...
задан 31 дек. '09 в 1:02
12
ответов

Как работает SQL-инъекция из комикса XBCD Bobby Tables?

Просто посмотри: (Источник: https://xkcd.com/327/) Что делает этот SQL: Robert'); DROP TABLE STUDENTS; -- Я знаю, что для комментариев есть ' и --, но не комментируется ли слово DROP, так как оно является частью одной и той же строки?
задан 02 дек. '08 в 0:50
17
ответов

Какой лучший метод для дезинфекции ввода пользователя с помощью PHP?

Есть ли где-нибудь функция catchall, которая хорошо работает для дезинфекции ввода пользователя для SQL-инъекций и атак XSS, но при этом допускает определенные типы html-тегов?
задан 24 сент. '08 в 23:20
18
ответов

Рекомендации по защите REST API/веб-службы

При разработке API или службы REST существуют ли какие-либо установленные рекомендации по защите (аутентификация, авторизация, управление идентификацией)? При создании SOAP API у вас есть WS-Security в качестве руководства, и существует много литера...
задан 11 авг. '08 в 8:44
29
ответов

Как избежать обратного проектирования файла APK?

Я разрабатываю приложение для обработки платежей для Android, и я хочу, чтобы хакер не мог получить доступ к каким-либо ресурсам, активам или исходному коду из APK. Если кто-то изменяет расширение .apk на .zip, он может распаковать его и легко пол...
задан 13 дек. '12 в 9:42
6
ответов

Являются ли подготовленные PDO заявления достаточными для предотвращения SQL-инъекций?

Скажем, у меня такой код: $dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM users where username = :username'); $stmt->execute( array(':username' => $_REQUEST['username']) ); В документации PDO говорится: Параметры для п...
задан 25 сент. '08 в 18:43
25
ответов

Почему использование JavaScript eval-функции - плохая идея?

Функция eval - это мощный и простой способ динамического генерации кода, поэтому в чем же оговорки?
задан 17 сент. '08 в 22:09
5
ответов

SQL-инъекция, которая распространяется вокруг mysql_real_escape_string()

Есть ли возможность впрыска SQL даже при использовании функции mysql_real_escape_string()? Рассмотрим эту ситуацию с образцом. SQL построен в PHP следующим образом: $login = mysql_real_escape_string(GetFromPost('login')); $password = mysql_real_es...
задан 21 апр. '11 в 10:56
11
ответов

Фундаментальное различие между алгоритмами Hashing и Encryption

Я вижу много путаницы между хэшами и алгоритмами шифрования, и я хотел бы услышать еще несколько советов экспертов: Когда использовать хэши против шифрования Что отличает алгоритм хеширования или шифрования (от теоретического/математического уровн...
задан 09 февр. '11 в 20:30
12
ответов

Почему OAuth v2 имеет доступ и токены обновления?

В разделе 4.2 проекта протокола OAuth 2.0 указано, что сервер авторизации может возвращать как access_token (который используется для аутентификации с ресурсом), так и refresh_token, который используется исключительно для создания нового access_toke...
задан 15 авг. '10 в 18:25