《安全工程师》专题
-
使用Selenium接受Windows安全警报
环境:我必须用Selenium测试一个Web应用程序。在访问起始页之前,会抛出windows安全警报。由于Alert/Verification-Popup是在os级别上,所以selenium Alert-API无法处理它。 解决方法:为了访问该页面,我编写了一个脚本,其中填充用户名和密码,然后单击enter(脚本代码来自:https://automationtestingsimplified.wo
-
在elasticsearch中创建安全筛选器
我试图创建一个安全过滤器,以排除某些用户在ElasticSearch中看到某些文档。例如,如果一个文档包含“abc:123”和“abc:xyz”,那么用户的配置文件中必须同时包含这两个文档才能查看该文档。我们正在使用小胡子模板创建这个动态。我的第一次尝试是这样的: 但是,我很快意识到,这将允许拥有一个控件的用户查看具有多个控件的文档。文档必须具有用户必须匹配的控件的子集。因此,如果用户只有“abc
-
Kotlin从空值返回空安全值
我有这个功能 我用它来表示,我知道T现在不是空的,所以给我它的非空的形式。 我对函数不满意,有更好的方法吗?我觉得我错过了一些基本的东西
-
Azure Databricks与ADLS Gen 2安全访问
在我们这家小公司的团队中,我遇到了一些挫折,围绕着使用Azure Databricks中将Azure Databricks作为我们的增量表的后端(我是这家公司和Databricks的新手,所以我可能解释的任何事情都是在我之前决定的,我意识到其中一些可能是有问题的, 但不是寻找对此的看法)。 本质上,工程团队正在构建数据摄取管道(作为python文件,而不是笔记本),这些管道在Azure Datab
-
将nullptr分配给STD::String安全吗?
我在做一个小项目,遇到了以下情况: 我的问题是返回NULL是否变成空字符串?是不是没有定义?或者它会分段?
-
如何安全地保存git凭据?
我最近一直在寻找一个如何在CentOS 7中安全保存git凭证的解决方案。 我想保存多个git存储库的凭据。 我想出的解决方案是将侏儒密钥环与任何版本的git一起使用。但我遇到了一些问题。我发现很多帖子说这在Redhat 7或Centos 7中不是一个好的解决方案。,它将被弃用。 但这对我不起作用,使用git时出错: 与gnome-keyring-daemon通信时出错 然后我把git升级到最后一
-
IBM MQ和Spring集成——安全设置
我有一个Spring集成流,它使用入站网关从IBM MQ队列获取消息: 但是,我无法分配安全设置。特别是,我需要用户名,密码和用户身份验证MQCSP = false(由于本文范围之外的原因,我不会详细说明,但我的经纪人将抛出MQRC = 2009否则)。 我已经按照IBM指南连接了jmsTemplate,并且运行良好。这使用来自IBM MQ的官方Spring boot starter,它将友好地创
-
@Application ationScoped CDI bean和@PeristextContext-这安全吗?
用CDI做这样的事情安全吗? 我理解本身不是线程安全的,因此不应该在像这样的共享全局上下文中使用。但是,由于带有的注入对象实际上是底层周围的线程感知包装器,这是否可以? 我看过其他关于这个问题的帖子,但还没有找到这个具体案例的权威答案。例如: Java CDI@PersistenceContext和线程安全 例如,与一起使用似乎是安全的,但我不确定这是因为的工作方式,还是因为本身固有的原因。 编辑
-
安全缺陷-veracode报告-crlf注入
这是正确的解决办法吗?我还能做什么? 这是报告信息:标题:日志的不正确输出中和 描述:函数调用可能导致日志伪造攻击。将未经处理的用户提供的数据写入日志文件可使攻击者伪造日志条目或将恶意内容注入日志文件。损坏的日志文件可用于掩盖攻击者的踪迹,或作为攻击日志查看或处理实用程序的传递机制。例如,如果web管理员使用基于浏览器的实用程序查看日志,则可能会发生跨站点脚本攻击。
-
Spring Boot不支持基本安全性
我正在尝试建立一个带有基本身份验证的普通Spring Boot环境。 基本上,我只想自定义用户、受保护的路径和自定义密码编码器。 Spring Boot留档状态: 要在不更改任何其他自动配置功能的情况下覆盖访问规则,请添加一个带有@Order(SecurityProperties.access_override_Order)的WebConfigurerAdapter类型的@Bean。 注意:我认为
-
如何安全地存储会话ID
我是一名学习密码学的学生。在网上搜索之后,我仍然找不到问题的答案。我想知道如何为电子商务网站安全地存储会话ID。如果可能的话,怎么可能?请用外行的话解释一下。期待您的回答。 干杯
-
Spring安全钥匙斗篷适配器
我正试图在我的spring boot应用程序中使用KeyClope。 我想根据REST方法和用户角色限制对特定URL的访问。 在下面的示例中,具有或角色的用户可以执行GET,而具有或角色的用户可以执行POST、PUT或DELETE。 不幸的是,此配置允许任何经过身份验证的用户访问/api/日历URL。我做错了什么?
-
Spring Boot安全性LDAP身份验证
-
GrailsSpring安全Rest /api/login401未经授权
我已经使用spring security core:2.0.0 spring security rest:1.4.1插件配置了一个Grails(2.3.7)应用程序,以便有两种身份验证类型,一种是用于web的状态完整身份验证,另一种是用于使用令牌的移动身份验证(无状态)。很好,基本的http身份验证工作正常。正在尝试使用POSTMAN rest客户端进行身份验证http://localhost:8
-
如何让Kafka纯认证更安全?
我对Kafka身份验证的不同协议和机制感到困惑。 类似于这里的这个问题: 是否可以为Kafka提供自定义登录模块以支持 LDAP? 我已经制作了自己的普通登录模块,它使用LDAP来验证客户端提供的用户名/密码。 有什么办法让我更安全吗?发送明文密码进行身份验证似乎不安全。如果可能的话,我也不希望在客户端jaas文件中使用明文密码。 如果我使用SSL,我还可以使用LDAP服务器进行身份验证吗?kaf