《安全工程师》专题
-
如何安全存储Android KeyStore密码
在一个应用程序中,我使用Android密钥库。我已经为整个密钥库和每个密码条目设置了密码。因为这些密码是字符串,所以它们存储在代码的字符串成员中。 显然,如果我想发布应用程序,这是不安全的,因为潜在的攻击者可以反编译apk并获取密码,因为它是硬编码在应用程序中的。 我的问题是: 在上面的场景中:攻击者是否能够读取我的密钥库文件,或者(在无根手机上)该文件是否只能由我的应用程序访问,因此仅密码是不够
-
Mobile-API服务器安全[已关闭]
我正在构建一个Android应用程序--其中的一个关键部分将包括与服务器API的集成。该应用程序只是一个辅助项目,我真的只是在寻找我计划的API安全性的验证和最佳实践的建议,以及其他应用程序如何做到这一点。 该应用程序将是移动的(首先,没有网站)-我希望能够创建用户帐户从应用程序,一旦注册,使用中央网络API访问/更新安全的用户特定的内容。 可公开访问的注册和登录的POSTendpoint 用户特
-
Spring 4安全性jdbc身份验证我正在尝试让JDBC身份验证与我的小辅助项目一起工作,从表面上看,它应该可以工作,但它没有。所有的配置都遵循贝娄。 如果我切换到具有相同用户名/密码的inMemory身份验证,它就会非常工作。 这是我记录输出时得到的结果:
-
Spring Rest api和Spring基本安全性
你好,我是Spring和Spring保安新来的。目前我正在Spring开发rest api。根据spring提供rest API。rest api是无状态的,所以我们不能创建到rest api的会话。因为它是一个无状态的,如果我们这样做,那么它是违反rest设计的。所以我的问题是,在REST中,我们是不是可以永远保持服务器端用户的状态?我们可以维护它的客户端吗??怎么做??在spring basi
-
无法关闭Spring Boot安全配置
有人能帮助我为什么被触发,以及如何禁用它吗?作为内部系统,rest服务是否需要授权? 提前致谢,如有任何建议,不胜感激。
-
Kafka SSL安全设置导致问题
我将开始讲述我想要实现的目标。所以我的设置是: > 6 VM运行Ubuntu 14.04版本 - 在其中3个中,我已经设置了Kafka,在3中,我创建了动物园管理员实例。 我开始生产和消费,一切似乎都很好,没有问题。 现在我想使用kafka 0.9版本的SSL来保护设置。我只想在客户端和kafka代理之间设置SSL,以便它们能够安全通信。我遵循以下链接。 我所做的唯一更改是:我用kafka代理的I
-
EC2安全组无法相互通信
我有两个AWS EC2实例,它们试图通过自定义TCP端口相互通信。每个实例都有自己的安全组,但两者都不能相互通信。 这是我的设置: EC2实例1 名称:实例-1 公共IP地址:aaa.bbb.ccc。ddd 安全组ID:sg-xxxxxxxxxx 1 SG入站规则:无 SG出站规则: 类型:所有流量,协议:全部,端口范围:全部,目标:0.0.0.0/0 EC2 实例 2 < li >名称:实例-2
-
哪个JWT刷新策略更安全?
基本思想是用户会话应该很长,并且根据用户活动继续/禁用。然而,由于我们不能撤销令牌,所以令牌应该是短期的,比如15分钟。如果我们可以在令牌过期后刷新令牌,那么用户会话可以继续。 经过一些研究,我发现有两种实现: 一个用于刷新过期,一个用于令牌过期。刷新TTL比令牌到期TTL长。如果客户端发现当前令牌已过期但仍可以刷新,则将调用服务器刷新api。新令牌将有新的到期时间和刷新到期时间。如果两个TTL都
-
手动验证使用Spring安全性
我正在使用Spring Security性,它工作正常,但现在我想手动启动安全过程,对客户端进行更改,我需要在我的控制器中获取用户名和密码(表单不会直接调用“j_spring_security_check”) 我想到了两个选项,我有一些问题: > 在我得到参数并做了一些事情之后,我将向j_spring_security_checkurl发送一个post请求。我的代码: 公共无效测试(loginDT
-
安全替代危险的溶西汀
我想在我的网站上有一个动态博客(使用React)。最初,我打算在数据库中以原始HTML存储帖子,并使用危险的HTML生成内容。然而,我对安全问题感到关切。虽然我的应用程序没有任何敏感数据,但我对XSS还不够精通,不知道打开我的应用程序会遇到哪些危险。 我很好奇,是否有一种高效、安全的方式在我的应用程序中动态加载博客页面。会使用https://github.com/odysseyscience/re
-
忽略Spring mvc中的安全注释
我正在尝试配置Spring Security注释,我已经设法在xml中设置了Spring Security配置(由intercept-url元素配置),但是现在我想在我的beans中使用安全注释。但是当试图在没有记录的情况下访问安全控制器方法时,安全注释被完全忽略。这是我的控制器bean: 和登录控制器: 和配置:web.xml Spring-套筒.xml 和Spring安全.xml 如果需要,我
-
颤振空安全条件小部件
在Flatter引入空安全特性之前,我能够有条件地在列表中添加小部件,如下所示: 是一个自制的过滤器,可以过滤掉空对象... 现在使用空安全性是不可能的,因为小部件列表严格来说必须是非空的。什么是更好的方法?
-
Java 8日期等于空安全[duplicate]
哪个是检查两个对象是否相等的最佳方法,具有空安全功能?日期d1日期d2
-
FireBase安全规则不适用于auth.uid
我正在尝试设置Firebase规则,如果$uid等于auth,则该规则将授予对R/W的访问权限。uid。我用firebase phone auth登录。 我正在尝试这条规则: 这条规则: 我尝试访问数据时出错(权限被拒绝)。 我遵循Firebase的说明,此规则通过模拟器。 当这些规则到位时,我不会从Firebase获得带有快照的实例。 如果你能帮助解决这个问题,我将不胜感激。 我正在尝试授予读取
-
Firebase实时数据库安全规则
我创建了一个应用程序,它使用Firebase实时数据库。我对安全规则有一个很大的问题。我的用户不需要登录使用应用程序,他们可以发送数据到数据库,无需任何身份验证。例如:这是一个简单的游戏,他们可以互相玩,然后他们可以保存分数。我想创建一个安全的数据库,但是任何人都可以写