security

0热度

1回答

我已经编写了一个应用程序，支持使用普通用户名和密码的成员帐户。现在我想实现TouchID以方便使用。但是我偶然发现登录令牌过期的地方（我的服务器为用户提供了一个令牌，在成功登录后使用一段时间，直到此令牌本身到期）：为了通过TouchID登录到iser（无需他输入他的凭据一旦agaim），我需要在手机上存储该信息。看起来像钥匙扣是技术使用的。然后我问自己：如果凭证在这个钥匙串中，那么使用Toic

0热度

1回答

Rails异常;我的应用程序易受攻击<script>警报（“xssvuln”）</script>

我安装我的应用程序exception notification，和我有几个这样的通知，昨晚：的::的ActionView ::模板发生在课程＃在线错误： PG::InvalidTextRepresentation: ERROR: invalid input syntax for integer: "<script>alert("xssvuln")</script>" LINE 1: ...".

0热度

2回答

弹簧安全：公共API注册新用户

我有一个用例，我想HTTP POST a userName作为JSON到我的服务，然后服务应注册一个新用户（给定userName和一个自动生成密码）。 JSON { "userName": "Sia" } 我使用Spring Security，而且我现在面临的问题是：每当我试着HTTP POST一个userName，该服务已经要求进行身份验证（用户名和密码）。这不是我想要的。我希望注册A

0热度

1回答

保护Node js运行时或禁用调试/检测

我有一个运行在nodejs上的JavaScript应用程序。它读取stdin以获取用户名和密码以访问一些在线服务。如果需要重新登录，这些凭证保留在应用程序运行期间（24/7）的整个变量中。访问服务器的人是否可以“调试”应用程序并获取这些变量，就像人们在浏览器中一样？或任何其他方式。我对节点的内部工作仍然有点不甚了解。编程：该应用程序正在Docker容器上运行！

0热度

1回答

将.well-known/assetlinks.json存储在公共库存中？

将文件.well-known/assetlinks.json保存在公共库中是否安全？由于声明列表要求签名密钥，因此它似乎是一个敏感文件？

-3热度

2回答

防止假冒用户的攻击（真正的用户是那些真正处于特定位置的用户）

假设我正在为一个展览制作网络应用程序（例如平均堆栈），我想确保我的服务器只接受来自用户的请求真的在场内，我该怎么办？什么是常见攻击？

-5热度

1回答

智能手机GPS有多可靠？它可以被黑客入侵吗？

如果我要编写一个记录设备GPS位置的移动应用程序，我可以确定GPS位置没有被篡改？为了避免混淆，我不关心GPS的分辨率/精度，我更关心安全性。 GPS坐标是否可以被黑客入侵，以便我的应用记录一个不正确的位置？我可以证明应用程序记录的GPS坐标可以信赖吗？

0热度

1回答

自己实现哈希

我正试图学习更多关于密码哈希。我很习惯于Java，并试图编写我自己的密码散列函数。我知道你永远不应该实现你自己的密码安全，这纯粹是一个学术努力。我做了我自己的HashMap和其他数据结构的实现。如果需要，我会很感激哈希如何工作和代码片段的描述。我已经搜索了一个答案，但我能找到的是如何使用SHA 256（或其他）来散列密码。我想让自己更多地了解这些算法。感谢您的帮助。 p.s. 为了澄清，我知道有一

0热度

2回答

有没有关于python-flask的request.remote_addr的缺陷？或者它是可靠的（没有反向代理）

Gooday to All，我写下了一个非常敏感的Web应用程序，其功能就像文件浏览器，而不是使用sftp/ftp或ssh。它纯粹使用http/https。我使用request.remote_addr来确定客户端的IP地址。如果IP不在列表中，则拒绝。 good_ips = ['127.0.0.1','192.168.1.10','192.168.1.1'] if request.remote_

1热度

1回答

SHA 2哈希和Java的问题

我正在努力遵循如https://en.wikipedia.org/wiki/SHA-2中所述的SHA-2加密函数。我审查其说行：开始长度为L比特的原始消息附加一个单一的“1”位; 附加K'0'位，其中K是最小数量> = 0，使得L + 1 + K +64是512的倍数将L附加为64位大端整数，使得总后处理长度是512位的倍数。我不明白最后两行。如果我的字符串很短，那么在添加K'0'位后它的