《安全工程师》专题
-
如何安全地写入文件?
问题内容: 假设您有一个用于处理某种XML文件或配置文件的库。该库将整个文件读入内存,并提供用于编辑内容的方法。处理完内容后,可以调用将内容保存回文件。问题是如何以安全的方式执行此操作。 覆盖现有文件(开始写入原始文件)显然是不安全的。如果该方法在完成之前失败,则最终将写入一半的文件,并且您丢失了数据。 更好的选择是在某个位置写入 临时 文件,方法完成后, 将 临时文件 复制 到原始文件。 现在,
-
Node.js Express框架安全性问题
问题内容: 我正在寻找应添加到Node / Express应用程序中的模块,以解决下面列出的常规安全问题: 注入漏洞(JavaScript,SQL,Mongo,HTML) 会话固定和劫持 跨站点漏洞(脚本,伪造请求) 批量分配 在此插入相关问题 谢谢你的帮助! ---------- 我发现了一些资源: 精彩演讲(11/2012):http ://lanyrd.com/2012/asfws/sxzb
-
CentOS Linux服务器安全设置
本文向大家介绍CentOS Linux服务器安全设置,包括了CentOS Linux服务器安全设置的使用技巧和注意事项,需要的朋友参考一下 我们必须明白:最小的权限+最少的服务=最大的安全 所以,无论是配置任何服务器,我们都必须把不用的服务关闭、把系统权限设置到最小话,这样才能保证服务器最大的安全。下面是CentOS服务器安全设置,供大家参考。 一、注释掉系统不需要的用户和用户组 注意:不建议直接
-
码头网络服务器安全
问题内容: 我有一个由Jetty驱动的网站。 我想使网站密码受保护(或类似)。 有没有一种方法可以通过单独配置来实现(无需触摸代码)。 所有帮助,不胜感激。 担 问题答案: 一种方法是通过为应用程序设置基本身份验证。仅当您使用ssl时才应执行此操作,但是没有ssl的登录仍然不安全,因此我想您已经拥有了。 在Jetty中有很多方法可以做到这一点,但这只是其中之一。 首先,您必须定义一个领域,在其中定
-
使用EJBContext getContextData-这样安全吗?
问题内容: 我打算用来将一些属性从应用程序层(特别是消息驱动的Bean)传递到不能直接注入或传递参数的持久性生命周期回调(EclipseLink中的会话侦听器,实体生命周期回调等),并且该回调通过JNDI 获取。 这似乎可以正常工作,但是我是否缺少任何隐藏的陷阱,例如线程安全性或对象寿命?(假设要传递的属性值是不变的,如String或Long。) 样本豆代码 然后使用EJBContext的回调 我
-
如何克服此安全问题
问题内容: 我实现了一个ajax轮询脚本,该脚本每10秒在服务器Controller中调用一次操作。通过响应,我替换了的内容: 这是通过 https 完成的。经过一段时间的“空闲”,IE会显示以下消息: 该页面正在访问不受其控制的信息。这带来了安全风险。你想继续吗? 如果用户单击“ 是” ,则页面将重定向到仅显示响应的页面。如果用户单击“ 否” ,则什么都不会发生,但是不会刷新容器。 我知道我可以
-
VS安全函数问题问题主要内容:什么是安全函数(safe function),如何取消安全函数的限制在 VS(Visual Studio)下编译C语言程序,如果使用了 scanf()、gets()、strcpy()、strcat() 等与字符串读取或操作有关的函数,有时候VS会报错,提示该函数可能不安全,并且建议替换为带有 后缀的安全函数,如下图所示: 什么是安全函数(safe function) scanf()、gets()、fgets()、strcpy()、strcat() 等都是C语言自带
-
spring安全OAuth2重定向循环
我有一个oauth2客户端spring启动应用程序,其依赖项为:-spring-boot 1.2.0.rc1-spring-security-OAUTH2 2.0.4.release-spring-security3.2.5.release 客户端进行身份验证,身份验证在SecurityContextHolder中设置,但当请求重定向到原始url时,筛选器链将再次开始处理。我注意到在中,conte
-
Spring云数据流与Kafka安全
是否可以为Apache Kafka的Spring Cloud DataFlow配置身份验证?在哪里可以看到示例? 谢谢你。
-
Spring Boot+安全+多HTTP Web配置
我使用的配置如下: 提前致谢
-
网络安全岗位面试题贴一下我自己找的一些安全面经:https://github.com/h4m5t/Sec-Interview 技术面试问题 CTF 说一个印象深刻的CTF的题目 sql二次注入 Python 爬虫模块、框架、反爬虫机制(IP->代理池、验证码破解、UA) 并发(多线程、线程池、协程、三个程之间的区别) 常用的标准库 DJANGO和FLASK区别和使用 ORM python安全工具编写/源码阅读 证明
-
Openshift 源安全 git 克隆错误
用一个简单的byo runbook设置来尝试openshift origin V3,该设置严格遵循高级安装说明。然而,我的构建很难从任何git库克隆,甚至是公共的github库。 HTTPS: SSH: 在我的主机上手动克隆回购没有问题。 任何智慧都会大加赞赏。
-
解析/ proc /文件是否安全?
问题内容: 我想解析,但是安全吗? 我应该如何打开文件并从中读取文件,不要害怕其他一些进程(或操作系统本身)会在同一时间对其进行更改? 问题答案: 一般来说,没有。 (因此,这里的大多数答案都是错误的。)根据您想要的属性,它 可能 是安全的。但是,如果您过多地假设中的文件一致性,则很容易在代码中导致错误。例如,请查看此错误,该错误来自假设它是一致的快照。 例如: 有人在另一个答案中提到过,这 完全
-
WebSphere MQ v7.1安全用户凭证
问题内容: 运行WebSphere MQ Server v7.1的Linux Server Box: 我在Linux中创建了一个属于’mq-users’组的用户’mq- user’。然后,我创建了队列管理器,并使用MQSC发出以下命令来创建队列并设置安全性: 运行WebSphere MQ Client v7.1和WebSphere MQ Explorer的Linux Client Box: 我以我
-
模糊或安全的Jmeter脚本
问题内容: 我从某个时候开始从事Jmeter脚本的工作,因此需要保护Jmeter脚本并主要使其对外部涉众不可读。我的期望是将脚本混淆或提供为某种JAR或可执行文件。我需要一些想法或解决方法。 谢谢 森兹79 问题答案: 可以从Java代码运行现有的JMeter脚本,也可以使用JMeter API 完全在Java中创建JMeter测试,因此创建可执行二进制文件来运行您的测试并对其进行混淆是没有问题的