Вопросы с тегом 'security'

Темы, касающиеся безопасности приложений и атак на программное обеспечение. Пожалуйста, не используйте этот тег самостоятельно, что приводит к двусмысленности. Если у вас есть вопрос не о конкретной проблеме программирования, пожалуйста, подумайте, не спрашивая его в Security Security SE: https://security.stackexchange.com
12

Окончательное руководство по аутентификации на основе форм

Проверка подлинности на основе форм для веб-сайтов Мы полагаем, что Qaru должен быть не просто ресурсом по очень конкретным техническим вопросам, но и для общих рекомендаций по устранению вариаций общих проблем. "Проверка подлинности на основе форм...
02 авг. '08 в 19:51
6

Почему Google добавляет while(1); в свои ответы JSON?

Почему Google добавляет while(1); в свои (частные) ответы JSON? Например, здесь ответ при включении и выключении календаря в Календаре Google: while(1);[['u',[['smsSentFlag','false'],['hideInvitations','false'], ['remindOnRespondedEventsOnly','t...
19 апр. '10 в 18:00
18

Почему char [] предпочитается над String для паролей?

В Swing поле пароля имеет метод getPassword() (возвращает char[]) вместо обычного метода getText() (возвращает String). Точно так же я столкнулся с предложением не использовать String для обработки паролей. Почему String создает угрозу безопасности...
16 янв. '12 в 14:20
28

Как я могу предотвратить SQL-инъекцию в PHP?

Если пользовательский ввод вставлен без изменения в SQL-запрос, приложение становится уязвимым для SQL-инъекции, как в следующем примере: $unsafe_variable = $_POST['user_input']; mysql_query("INSERT INTO `table` (`column`) VALUES ('$unsafe_variabl...
12 сент. '08 в 23:55
26

Как я должен придерживаться этического подхода к хранилищу паролей пользователей для последующего поиска в открытом виде?

Поскольку я продолжаю создавать все больше и больше веб-сайтов и веб-приложений, мне часто просят хранить пароли пользователей таким образом, чтобы их можно было получить, если/когда у пользователя возникла проблема (либо отправить по электронной поч...
17 февр. '10 в 19:54
14

Безопасный хэш и соль для паролей PHP

В настоящее время говорят, что MD5 является частично небезопасным. Принимая это во внимание, я хотел бы знать, какой механизм использовать для защиты паролем. Этот вопрос, Является ли "двойной хэширование" паролем менее безопасным, чем просто его ...
30 дек. '09 в 22:02
19

Как я могу санировать ввод пользователя с помощью PHP?

Есть ли где-нибудь функция-ловушка, которая хорошо работает для дезинфекции пользовательского ввода для SQL-инъекций и XSS-атак, но при этом допускает определенные типы HTML-тегов?
24 сент. '08 в 20:20
12

Как работает SQL-инъекция из комикса XBCD Bobby Tables?

Просто посмотри: (Источник: https://xkcd.com/327/) Что делает этот SQL: Robert'); DROP TABLE STUDENTS; -- Я знаю, что для комментариев есть ' и --, но не комментируется ли слово DROP, так как оно является частью одной и той же строки?
01 дек. '08 в 21:50
18

Рекомендации по защите REST API/веб-службы

При разработке API или службы REST существуют ли какие-либо установленные рекомендации по защите (аутентификация, авторизация, управление идентификацией)? При создании SOAP API у вас есть WS-Security в качестве руководства, и существует много литера...
11 авг. '08 в 5:44
33

Как избежать обратного проектирования файла APK?

Я занимаюсь разработкой приложения для обработки платежей для Android и хочу запретить хакеру доступ к любым ресурсам, ресурсам или исходному коду из файла APK. Если кто-то изменяет расширение .apk на .zip, то он может разархивировать его и легко п...
13 дек. '12 в 6:42
6

SQL-инъекция, которая распространяется вокруг mysql_real_escape_string()

Есть ли возможность внедрения SQL-кода даже при использовании функции mysql_real_escape_string()? Рассмотрим этот пример ситуации. SQL построен на PHP следующим образом: $login = mysql_real_escape_string(GetFromPost('login')); $password = mysql_rea...
21 апр. '11 в 7:56
7

Являются ли подготовленные PDO заявления достаточными для предотвращения SQL-инъекций?

Скажем, у меня такой код: $dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM users where username = :username'); $stmt->execute( array(':username' => $_REQUEST['username']) ); В документации PDO говорится: Параметры для п...
25 сент. '08 в 15:43
10

Аутентификация против авторизации

Какая разница в контексте веб-приложений? Я часто вижу аббревиатуру "auth". Это означает аутентификацию -entication или аутентификацию -orization? Или это оба?
02 июл. '11 в 10:44
3

Как может быть bcrypt иметь встроенные соли?

Coda Hale article "Как безопасно хранить пароль" утверждает, что: bcrypt имеет встроенные соли, чтобы предотвратить атаки радужного стола. Он цитирует эту статью, в которой говорится, что в реализации OpenBSD bcrypt: OpenBSD генерирует 128-б...
26 июл. '11 в 15:21
14

Почему OAuth v2 имеет доступ и токены обновления?

В разделе 4.2 проекта протокола OAuth 2.0 указано, что сервер авторизации может возвращать как access_token (который используется для аутентификации с ресурсом), так и refresh_token, который используется исключительно для создания нового access_toke...
15 авг. '10 в 15:25