คำถามติดแท็ก security

ล็อคแล้ว คำถามและคำตอบของคำถามนี้ถูกล็อคเนื่องจากคำถามอยู่นอกหัวข้อ แต่มีความสำคัญทางประวัติศาสตร์ ขณะนี้ไม่ยอมรับคำตอบหรือการโต้ตอบใหม่ ฉันพยายามสร้างรายการฟังก์ชันที่สามารถใช้สำหรับการใช้รหัสโดยอำเภอใจ วัตถุประสงค์ไม่ใช่เพื่อแสดงรายการฟังก์ชันที่ควรขึ้นบัญชีดำหรือไม่อนุญาต แต่ฉันต้องการgrepรายการคำหลักที่สามารถติดธงแดงได้เมื่อทำการค้นหาเซิร์ฟเวอร์ที่ถูกบุกรุกเพื่อหาประตูหลัง แนวคิดคือถ้าคุณต้องการสร้างสคริปต์ PHP ที่เป็นอันตรายแบบอเนกประสงค์ - เช่นสคริปต์ "web shell" เช่น c99 หรือ r57 - คุณจะต้องใช้ฟังก์ชั่นชุดเล็ก ๆ อย่างน้อยหนึ่งชุดขึ้นไป ที่ใดที่หนึ่งในไฟล์เพื่ออนุญาตให้ผู้ใช้เรียกใช้รหัสโดยอำเภอใจ การค้นหาฟังก์ชั่นเหล่านั้นจะช่วยให้คุณแคบลงอย่างรวดเร็วยิ่งขึ้นกองหญ้าของไฟล์ PHP นับหมื่นนับพันเป็นชุดสคริปต์ขนาดเล็กที่ต้องการการตรวจสอบอย่างใกล้ชิดยิ่งขึ้น ตัวอย่างเช่นสิ่งใด ๆ ต่อไปนี้จะถือว่าเป็นอันตราย (หรือการเข้ารหัสแย่): <? eval($_GET['cmd']); ?> <? system($_GET['cmd']); ?> <? preg_replace('/.*/e',$_POST['code']); ?> และอื่น ๆ การค้นหาผ่านเว็บไซต์ที่ถูกบุกรุกในวันอื่น ๆ ผมไม่ได้สังเกตเห็นชิ้นส่วนของโค้ดที่เป็นอันตรายเพราะผมไม่ทราบpreg_replaceอาจจะทำอันตรายจากการใช้ของ/eธง ( ซึ่งอย่างจริงจังทำไมคือว่าแม้มี ?) มีคนอื่นที่ฉันพลาดไปไหม? นี่คือรายการของฉัน: ดำเนินการเชลล์ …

277 php  security  grep 

ฉันพยายามสนับสนุนโทเค็นผู้ถือ JWT (JSON Web Token) ในแอปพลิเคชันเว็บ API ของฉันและฉันหลงทาง ฉันเห็นการสนับสนุน. NET Core และสำหรับแอปพลิเคชัน OWIN ฉันกำลังโฮสต์แอปพลิเคชันของฉันใน IIS ฉันจะบรรลุโมดูลการรับรองความถูกต้องนี้ในแอปพลิเคชันของฉันได้อย่างไร มีวิธีใดบ้างที่ฉันสามารถใช้การ<authentication>กำหนดค่าที่คล้ายกับวิธีที่ฉันใช้การตรวจสอบสิทธิ์แบบฟอร์ม / Windows

264 c#  security  asp.net-web-api  jwt 

ปิด คำถามนี้เป็นคำถามความคิดเห็นตาม ไม่ยอมรับคำตอบในขณะนี้ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้สามารถตอบข้อเท็จจริงและการอ้างอิงได้โดยแก้ไขโพสต์นี้ ปิดให้บริการใน4 ปีที่แล้ว ปรับปรุงคำถามนี้ ฉันกำลังตั้งค่าครั้งแรกของฉันNode.jsเซิร์ฟเวอร์บนและผมค่อนข้างใหม่กับรายละเอียดของcloud Linux node Linux admin(BTW ฉันไม่ได้พยายามใช้ Apache ในเวลาเดียวกัน) ทุกอย่างถูกติดตั้งอย่างถูกต้อง แต่ฉันพบว่าถ้าฉันใช้root loginฉันไม่สามารถฟังport 80ด้วยโหนด อย่างไรก็ตามฉันไม่ต้องการรันเป็นรูทเพื่อเหตุผลด้านความปลอดภัย การปฏิบัติที่ดีที่สุดคืออะไร: ตั้งค่าการอนุญาตที่ดี / ผู้ใช้สำหรับโหนดเพื่อให้ปลอดภัย / แซนด์บ็อกซ์หรือไม่ อนุญาตให้ใช้พอร์ต 80 ภายในข้อ จำกัด เหล่านี้ เริ่มต้นโหนดและรันโดยอัตโนมัติ จัดการข้อมูลบันทึกที่ส่งไปยังคอนโซล การบำรุงรักษาทั่วไปและความปลอดภัยอื่น ๆ ฉันควรส่งต่อการรับส่งข้อมูลพอร์ต 80 ไปยังพอร์ตการรับฟังอื่นหรือไม่ ขอบคุณ

260 linux  node.js  security  web-applications  configuration 

ตามที่เป็นอยู่ในปัจจุบันคำถามนี้ไม่เหมาะสำหรับรูปแบบคำถาม & คำตอบของเรา เราคาดหวังคำตอบที่จะได้รับการสนับสนุนจากข้อเท็จจริงการอ้างอิงหรือความเชี่ยวชาญ แต่คำถามนี้มีแนวโน้มที่จะเรียกร้องการอภิปรายการโต้แย้งการหยั่งเสียงหรือการอภิปรายเพิ่มเติม หากคุณรู้สึกว่าคำถามนี้สามารถปรับปรุงและเปิดใหม่ได้โปรดไปที่ศูนย์ช่วยเหลือเพื่อขอคำแนะนำ ปิดให้บริการใน8 ปีที่ผ่านมา คำถามนี้พูดถึงตัวประมวลผลการชำระเงินที่แตกต่างกันและสิ่งที่พวกเขามีค่าใช้จ่าย แต่ฉันกำลังมองหาคำตอบของสิ่งที่ฉันต้องทำถ้าฉันต้องการรับการชำระเงินด้วยบัตรเครดิต? สมมติว่าฉันต้องจัดเก็บหมายเลขบัตรเครดิตให้กับลูกค้าเพื่อให้วิธีการแก้ปัญหาที่ชัดเจนของการใช้หน่วยประมวลผลบัตรเครดิตในการยกของหนักนั้นไม่ PCI Data Securityซึ่งเห็นได้ชัดว่าเป็นมาตรฐานสำหรับการจัดเก็บข้อมูลบัตรเครดิตมีข้อกำหนดทั่วไปมากมาย แต่จะมีวิธีการใช้งานอย่างไร แล้วผู้ขายเช่นวีซ่าที่มีแนวปฏิบัติที่ดีที่สุดของตัวเองล่ะ ฉันต้องมีการเข้าถึง keyfob กับเครื่องหรือไม่? สิ่งที่เกี่ยวกับการปกป้องมันจากแฮกเกอร์ในอาคาร? หรือแม้ว่าจะมีใครบางคนจับมือไฟล์แบ็กอัพที่มีไฟล์ข้อมูลเซิร์ฟเวอร์ sql อยู่ด้วยล่ะ? สำรองข้อมูลอะไรบ้าง มีสำเนาทางกายภาพอื่น ๆ ของข้อมูลนั้นอยู่หรือไม่? เคล็ดลับ: หากคุณได้รับบัญชีผู้ค้าคุณควรเจรจาให้พวกเขาเรียกเก็บเงินจากคุณ "Interchange-plus" แทนที่จะเป็นราคาแบบฉัตร ด้วยการกำหนดราคาแบบทำเป็นระดับพวกเขาจะเรียกเก็บอัตราต่าง ๆ ตามประเภทของวีซ่า / MC ที่ใช้เช่น พวกเขาเรียกเก็บเงินคุณมากกว่าสำหรับบัตรที่มีรางวัลใหญ่ติดอยู่ การแลกเปลี่ยนและการเรียกเก็บเงินหมายถึงคุณจ่ายหน่วยประมวลผลเฉพาะที่ Visa / MC เรียกเก็บเงินรวมกับค่าธรรมเนียมคงที่ (Amex และ Discover จะเรียกเก็บอัตราของตนเองโดยตรงกับผู้ค้าดังนั้นสิ่งนี้จะไม่ใช้กับบัตรเหล่านั้นคุณจะพบว่าอัตรา Amex อยู่ในช่วง 3% …

258 security  e-commerce  pci-dss 

เว็บแอปพลิเคชันของฉันใช้เซสชันเพื่อเก็บข้อมูลเกี่ยวกับผู้ใช้เมื่อพวกเขาเข้าสู่ระบบและเพื่อรักษาข้อมูลนั้นเมื่อพวกเขาเดินทางจากหน้าหนึ่งไปอีกหน้าหนึ่งภายในแอป ในการประยุกต์ใช้ที่เฉพาะเจาะจงนี้ฉันจัดเก็บuser_id, first_nameและlast_nameของบุคคล ฉันต้องการเสนอตัวเลือก "ให้ฉันเข้าสู่ระบบ" ในการเข้าสู่ระบบที่จะวางคุกกี้บนเครื่องของผู้ใช้เป็นเวลาสองสัปดาห์ที่จะรีสตาร์ทเซสชันของพวกเขาด้วยรายละเอียดเดียวกันเมื่อพวกเขากลับไปที่แอป อะไรคือวิธีที่ดีที่สุดในการทำสิ่งนี้? ฉันไม่ต้องการเก็บไว้user_idในคุกกี้เนื่องจากดูเหมือนว่าจะทำให้ผู้ใช้รายหนึ่งลองและปลอมแปลงข้อมูลประจำตัวของผู้ใช้รายอื่นได้ง่าย

257 php  security  session  remember-me 

โพรโทคอลความปลอดภัยเริ่มต้นสำหรับการสื่อสารกับเซิร์ฟเวอร์ที่รองรับสูงสุดTLS 1.2คืออะไร จะ.NETเป็นค่าเริ่มต้นให้เลือกโปรโตคอลความปลอดภัยสูงสุดได้รับการสนับสนุนในด้านเซิร์ฟเวอร์หรือฉันจะต้องชัดเจนเพิ่มบรรทัดของรหัสนี้: System.Net.ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls | SecurityProtocolType.Tls11 | SecurityProtocolType.Tls12; มีวิธีในการเปลี่ยนค่าเริ่มต้นนี้นอกจากการเปลี่ยนรหัสหรือไม่ สุดท้ายนี้.NET 4.0สนับสนุนได้มากถึงเท่านั้นTLS 1.0? คือผมต้องปรับโครงการของลูกค้า 4.5 TLS 1.2ที่ให้การสนับสนุน แรงจูงใจของฉันคือการลบการสนับสนุนSSLv3ในฝั่งไคลเอ็นต์แม้ว่าเซิร์ฟเวอร์รองรับ (ฉันมีสคริปต์ PowerShell เพื่อปิดการใช้งานนี้ในรีจิสทรีของเครื่อง) และเพื่อรองรับโปรโตคอล TLS สูงสุดที่เซิร์ฟเวอร์รองรับ ปรับปรุง: กำลังมองหาที่ServicePointManagerเรียนใน.NET 4.0ผมเห็นไม่มีค่าแจกแจงสำหรับและTLS 1.0 1.1ในทั้งสองเริ่มต้นคือ.NET 4.0/4.5 SecurityProtocolType.Tls|SecurityProtocolType.Ssl3หวังว่าค่าเริ่มต้นนี้จะไม่แตกเมื่อปิดใช้งานSSLv3ในรีจิสทรี อย่างไรก็ตามฉันตัดสินใจว่าฉันจะต้องอัปเกรดแอพทั้งหมดเป็น.NET 4.5และเพิ่มอย่างชัดเจนSecurityProtocolType.Tls | SecurityProtocolType.Tls11 | SecurityProtocolType.Tls12;ในรหัส bootstrapping ของแอปพลิเคชันทั้งหมด ซึ่งจะทำให้ขาออกการร้องขอไปยัง APIs และบริการต่างๆที่จะไม่ปรับลดและควรเลือกระดับสูงสุดของSSLv3TLS วิธีการนี้ฟังดูสมเหตุสมผลหรือเกินความจริงหรือไม่? ฉันมีแอปพลิเคชั่นมากมายที่ต้องอัปเดตและฉันต้องการพิสูจน์ในอนาคตเนื่องจากฉันได้ยินว่าTLS 1.0อาจเลิกใช้งานในอนาคตอันใกล้โดยผู้ให้บริการบางราย ในฐานะที่เป็นลูกค้าที่ทำการร้องขอขาออกไปยัง APIs การปิดใช้งาน SSL3 …

253 .net  security  ssl 

ฉันมักจะใช้สตริงเกลือต่อรายการที่เหมาะสมเมื่อ hashing รหัสผ่านสำหรับการจัดเก็บฐานข้อมูล สำหรับความต้องการของฉันการจัดเก็บเกลือในฐานข้อมูลถัดจากรหัสผ่านที่แฮชใช้งานได้ดีอยู่เสมอ อย่างไรก็ตามบางคนแนะนำว่าเกลือจะถูกเก็บแยกต่างหากจากฐานข้อมูล เหตุผลของพวกเขาคือถ้าฐานข้อมูลถูกโจมตีผู้โจมตียังสามารถสร้างตารางรุ้งโดยนำสายเกลือพิเศษมาพิจารณาเพื่อถอดรหัสหนึ่งบัญชีในเวลาเดียวกัน หากบัญชีนี้มีสิทธิ์ผู้ดูแลระบบเขาอาจไม่จำเป็นต้องถอดรหัสใครเลย จากมุมมองด้านความปลอดภัยมันคุ้มค่าหรือไม่ที่จะเก็บเกลือไว้ในที่อื่น? พิจารณาเว็บแอปพลิเคชันที่มีรหัสเซิร์ฟเวอร์และฐานข้อมูลบนเครื่องเดียวกัน หากมีการจัดเก็บเกลือในไฟล์แฟล็ตบนเครื่องนั้นโอกาสที่ถ้าฐานข้อมูลถูกทำลายไฟล์เกลือก็จะเป็นเช่นกัน มีวิธีแก้ไขปัญหาที่แนะนำสำหรับเรื่องนี้หรือไม่?

250 security  authentication  hash  cryptography  salt 

ฉันได้รับข้อผิดพลาดมากมายในคอนโซลนักพัฒนาซอฟต์แวร์: ปฏิเสธที่จะประเมินสตริง ปฏิเสธที่จะเรียกใช้สคริปต์แบบอินไลน์เนื่องจากละเมิดคำสั่งนโยบายความปลอดภัยเนื้อหาต่อไปนี้ ปฏิเสธที่จะโหลดสคริปต์ ปฏิเสธที่จะโหลดสไตล์ชีท ทั้งหมดนี้เกี่ยวกับอะไร นโยบายความปลอดภัยของเนื้อหาทำงานอย่างไร ฉันจะใช้Content-Security-Policyส่วนหัว HTTP ได้อย่างไร โดยเฉพาะวิธีการ ... ... อนุญาตให้ใช้หลายแหล่งได้หรือไม่ ... ใช้คำสั่งที่แตกต่างกันอย่างไร ... ใช้หลายคำสั่งหรือไม่ ... จัดการพอร์ตหรือไม่ ... จัดการโปรโตคอลที่แตกต่างกันอย่างไร ... อนุญาตfile://โปรโตคอลหรือไม่ ... ใช้สไตล์อินไลน์สคริปต์และแท็ก<style>และ<script>? ... ช่วยให้eval()? และในที่สุดก็: 'self'หมายความว่าอะไรกันแน่?

248 javascript  html  security  http-headers  content-security-policy 

เว็บเบราว์เซอร์จะทำการร้องขอเนื้อหาผ่าน https หรือไม่หรือพวกเขาพิจารณาพฤติกรรมที่ไม่ปลอดภัยนี้หรือไม่ หากเป็นกรณีนี้มีอยู่แล้วที่จะบอกพวกเขาว่ามันแคช?

245 security  https 

เพื่อลดกับเคอร์เนลหรือหน่วยความจำการเปิดเผยกระบวนการข้าม (คนปีศาจโจมตี), ลินุกซ์เคอร์เนล1จะได้รับการรวบรวมกับตัวเลือกใหม่ , -mindirect-branch=thunk-externแนะนำให้รู้จักกับgccการดำเนินการโทรทางอ้อมผ่านสิ่งที่เรียกว่าretpoline สิ่งนี้ดูเหมือนจะเป็นคำที่ประดิษฐ์ขึ้นใหม่เนื่องจากการค้นหาของ Google เปิดใช้งานเมื่อไม่นานมานี้เท่านั้น (โดยทั่วไปแล้วทั้งหมดในปี 2561) retpoline คืออะไรและป้องกันการเปิดเผยข้อมูลเคอร์เนลล่าสุดได้อย่างไร 1มันไม่ได้เป็นลินุกซ์ที่เฉพาะเจาะจง - โครงสร้างที่คล้ายกันหรือเหมือนกันดูเหมือนจะใช้เป็นส่วนหนึ่งของกลยุทธ์การลดผลกระทบในระบบปฏิบัติการอื่น ๆ

244 security  assembly  x86  cpu-architecture 

ฉันเพิ่งใช้แล็ปท็อปสำรองของ บริษัท (ซึ่งมีการตั้งค่าผู้ใช้ทั่วไป) ในขณะที่ฉันกำลังซ่อมแซม ฉันได้ตรวจสอบตัวเลือก "จดจำรหัสผ่าน" ใน SQL Server Management Studio เมื่อเข้าสู่ระบบฐานข้อมูล ฉันต้องล้างข้อมูลการเข้าสู่ระบบและรหัสผ่านที่ฉันใช้เพื่อป้องกันบุคคลต่อไปที่จะใช้แล็ปท็อปจากการใช้ชื่อเข้าสู่ระบบและรหัสผ่านของฉัน ฉันจะทำสิ่งนี้ได้อย่างไร

235 sql-server  security  login  ssms 

วิธีที่ง่ายที่สุดในการทำการเข้ารหัสแบบสองทางในการติดตั้ง PHP ทั่วไปคืออะไร? ฉันต้องสามารถเข้ารหัสข้อมูลด้วยสตริงคีย์และใช้คีย์เดียวกันเพื่อถอดรหัสที่ส่วนอื่น ๆ การรักษาความปลอดภัยไม่ได้เป็นเรื่องที่น่ากังวลเท่า ๆ กับความสะดวกในการพกพาของรหัสดังนั้นฉันต้องการที่จะทำให้สิ่งต่าง ๆ เรียบง่ายที่สุดเท่าที่จะทำได้ ขณะนี้ฉันกำลังใช้การติดตั้ง RC4 แต่ถ้าฉันสามารถหาบางอย่างที่สนับสนุนได้ฉันคิดว่าฉันสามารถบันทึกรหัสที่ไม่จำเป็นจำนวนมากได้

230 php  security  encryption  cryptography  encryption-symmetric 

ฉันกำลังพยายามดึงไฟล์จากเซิร์ฟเวอร์โดยใช้ SFTP (ตรงข้ามกับ FTPS) โดยใช้ Java ฉันจะทำสิ่งนี้ได้อย่างไร

228 java  ftp  sftp  security 

ฉันมีสคริปต์ Bash เล็กน้อยที่ฉันใช้เพื่อเข้าถึงตัวสั่นด้วยความตื่นเต้นและปรากฏการแจ้งเตือนคำรามในบางสถานการณ์ เป็นวิธีที่ดีที่สุดในการจัดการเก็บรหัสผ่านของฉันด้วยสคริปต์อะไร ฉันต้องการคอมมิชชันสคริปต์นี้ให้กับ repo git และทำให้สามารถใช้งานได้บน GitHub แต่ฉันสงสัยว่าวิธีที่ดีที่สุดในการทำให้การเข้าสู่ระบบ / รหัสผ่านของฉันเป็นส่วนตัวในขณะที่ทำเช่นนี้ ปัจจุบันรหัสผ่านจะถูกเก็บไว้ในสคริปต์ของตัวเอง ฉันไม่สามารถลบออกได้ก่อนที่จะส่งเนื่องจากการกระทำเดิมทั้งหมดจะมีรหัสผ่าน การพัฒนาโดยไม่มีรหัสผ่านไม่ใช่ตัวเลือก ฉันคิดว่าฉันควรจะเก็บรหัสผ่านไว้ในไฟล์ปรับแต่งภายนอก แต่ฉันคิดว่าฉันจะตรวจสอบเพื่อดูว่ามีวิธีที่กำหนดขึ้นเพื่อจัดการสิ่งนี้ก่อนที่ฉันจะลองและรวบรวมบางสิ่งเข้าด้วยกัน

225 git  bash  security  github  passwords 

ฉันจะสร้างใบรับรองแบบลงนามด้วยตนเองสำหรับการเซ็นชื่อรหัสโดยใช้เครื่องมือจาก Windows SDK ได้อย่างไร

225 security  code-signing