《亚信安全毁约》专题
-
如何安全地保存git凭据?
我最近一直在寻找一个如何在CentOS 7中安全保存git凭证的解决方案。 我想保存多个git存储库的凭据。 我想出的解决方案是将侏儒密钥环与任何版本的git一起使用。但我遇到了一些问题。我发现很多帖子说这在Redhat 7或Centos 7中不是一个好的解决方案。,它将被弃用。 但这对我不起作用,使用git时出错: 与gnome-keyring-daemon通信时出错 然后我把git升级到最后一
-
IBM MQ和Spring集成——安全设置
我有一个Spring集成流,它使用入站网关从IBM MQ队列获取消息: 但是,我无法分配安全设置。特别是,我需要用户名,密码和用户身份验证MQCSP = false(由于本文范围之外的原因,我不会详细说明,但我的经纪人将抛出MQRC = 2009否则)。 我已经按照IBM指南连接了jmsTemplate,并且运行良好。这使用来自IBM MQ的官方Spring boot starter,它将友好地创
-
@Application ationScoped CDI bean和@PeristextContext-这安全吗?
用CDI做这样的事情安全吗? 我理解本身不是线程安全的,因此不应该在像这样的共享全局上下文中使用。但是,由于带有的注入对象实际上是底层周围的线程感知包装器,这是否可以? 我看过其他关于这个问题的帖子,但还没有找到这个具体案例的权威答案。例如: Java CDI@PersistenceContext和线程安全 例如,与一起使用似乎是安全的,但我不确定这是因为的工作方式,还是因为本身固有的原因。 编辑
-
安全缺陷-veracode报告-crlf注入
这是正确的解决办法吗?我还能做什么? 这是报告信息:标题:日志的不正确输出中和 描述:函数调用可能导致日志伪造攻击。将未经处理的用户提供的数据写入日志文件可使攻击者伪造日志条目或将恶意内容注入日志文件。损坏的日志文件可用于掩盖攻击者的踪迹,或作为攻击日志查看或处理实用程序的传递机制。例如,如果web管理员使用基于浏览器的实用程序查看日志,则可能会发生跨站点脚本攻击。
-
Spring Boot不支持基本安全性
我正在尝试建立一个带有基本身份验证的普通Spring Boot环境。 基本上,我只想自定义用户、受保护的路径和自定义密码编码器。 Spring Boot留档状态: 要在不更改任何其他自动配置功能的情况下覆盖访问规则,请添加一个带有@Order(SecurityProperties.access_override_Order)的WebConfigurerAdapter类型的@Bean。 注意:我认为
-
如何安全地存储会话ID
我是一名学习密码学的学生。在网上搜索之后,我仍然找不到问题的答案。我想知道如何为电子商务网站安全地存储会话ID。如果可能的话,怎么可能?请用外行的话解释一下。期待您的回答。 干杯
-
Spring安全钥匙斗篷适配器
我正试图在我的spring boot应用程序中使用KeyClope。 我想根据REST方法和用户角色限制对特定URL的访问。 在下面的示例中,具有或角色的用户可以执行GET,而具有或角色的用户可以执行POST、PUT或DELETE。 不幸的是,此配置允许任何经过身份验证的用户访问/api/日历URL。我做错了什么?
-
Spring Boot安全性LDAP身份验证
-
GrailsSpring安全Rest /api/login401未经授权
我已经使用spring security core:2.0.0 spring security rest:1.4.1插件配置了一个Grails(2.3.7)应用程序,以便有两种身份验证类型,一种是用于web的状态完整身份验证,另一种是用于使用令牌的移动身份验证(无状态)。很好,基本的http身份验证工作正常。正在尝试使用POSTMAN rest客户端进行身份验证http://localhost:8
-
Camel-Kafka安全协议SASL_SASL不工作
以骆驼Quarkus提供的官方例子为起点,我修改了逻辑,以便写信给Kafka经纪人。使用骆驼Kafka组件指向本地经纪人,一切都运行良好。 试图联系我们的Confluent Cloud代理的事情变得稍微复杂一些。我们使用的安全协议是SASL_SSL。下面的代码段将生成此问题末尾添加的日志。为了复制,请在此处找到完整的代码https://github.com/LeonardoBonacci/came
-
如何让Kafka纯认证更安全?
我对Kafka身份验证的不同协议和机制感到困惑。 类似于这里的这个问题: 是否可以为Kafka提供自定义登录模块以支持 LDAP? 我已经制作了自己的普通登录模块,它使用LDAP来验证客户端提供的用户名/密码。 有什么办法让我更安全吗?发送明文密码进行身份验证似乎不安全。如果可能的话,我也不希望在客户端jaas文件中使用明文密码。 如果我使用SSL,我还可以使用LDAP服务器进行身份验证吗?kaf
-
如何安全存储Android KeyStore密码
在一个应用程序中,我使用Android密钥库。我已经为整个密钥库和每个密码条目设置了密码。因为这些密码是字符串,所以它们存储在代码的字符串成员中。 显然,如果我想发布应用程序,这是不安全的,因为潜在的攻击者可以反编译apk并获取密码,因为它是硬编码在应用程序中的。 我的问题是: 在上面的场景中:攻击者是否能够读取我的密钥库文件,或者(在无根手机上)该文件是否只能由我的应用程序访问,因此仅密码是不够
-
Mobile-API服务器安全[已关闭]
我正在构建一个Android应用程序--其中的一个关键部分将包括与服务器API的集成。该应用程序只是一个辅助项目,我真的只是在寻找我计划的API安全性的验证和最佳实践的建议,以及其他应用程序如何做到这一点。 该应用程序将是移动的(首先,没有网站)-我希望能够创建用户帐户从应用程序,一旦注册,使用中央网络API访问/更新安全的用户特定的内容。 可公开访问的注册和登录的POSTendpoint 用户特
-
Spring 4安全性jdbc身份验证我正在尝试让JDBC身份验证与我的小辅助项目一起工作,从表面上看,它应该可以工作,但它没有。所有的配置都遵循贝娄。 如果我切换到具有相同用户名/密码的inMemory身份验证,它就会非常工作。 这是我记录输出时得到的结果:
-
Spring Rest api和Spring基本安全性
你好,我是Spring和Spring保安新来的。目前我正在Spring开发rest api。根据spring提供rest API。rest api是无状态的,所以我们不能创建到rest api的会话。因为它是一个无状态的,如果我们这样做,那么它是违反rest设计的。所以我的问题是,在REST中,我们是不是可以永远保持服务器端用户的状态?我们可以维护它的客户端吗??怎么做??在spring basi