《安全工程师》专题
-
jQuery Ajax数据发布的安全建议?
问题内容: 我正在使用jquery ajax将更新发布回我的服务器。我担心要确保已采取适当的措施,以便只有我的AJAX呼叫才能发布数据。 我的堆栈是针对MySQL后端的Apache上的PHP。 忠告不胜感激! 问题答案: 您页面中的AJAX调用可以发出的任何请求也可以由应用程序外部的人发出。如果操作正确,您将无法确定它们是来自Web应用还是通过手动/其他方式进行的AJAX调用。 当您说要确保只有A
-
安全摄像头和门解锁系统主要内容:系统如何工作?安全摄像头和门解锁系统是一个非常有趣的物联网设备和应用程序。这里简要介绍了它的工作过程。 系统如何工作? 首先将摄像机放在门的顶部,然后获取进入框架的人的照片。这张照片被发送到一个分析系统,该系统又将其与它拥有的所有照片进行比较,以确定是否打开门。 如果系统没有找到那个人的照片,那么它可以通知管理员授权访问的这个人是否可以找开进入? 或者禁止个人的访问? 通常,安全摄像头和门解锁系统用于存储高度敏
-
spring安全Thymleaf静态资源不加载
我将SpringMVC与Thymleaf和spring安全一起使用。我想加载一个页面使用Thymleaf模板,我可以加载我的静态资源。 例如,我想从template.html加载位于:static/img/theme/logo.png中的图片 我得到的是:结果 template.html: mvcConfig.java WebSecurityConfig: 源代码树
-
不支持 Spring 安全请求方法“POST”
具有状态405和身份验证的页面不工作。 来自 Spring 引导日志的错误 o.s.web.servlet.不支持请求方法POST jsp页面出错: 白标错误页面 该应用程序没有针对/error的显式映射,因此您可以将它视为一个后备。 出现意外错误(类型=不允许方法,状态=405)。不支持请求方法“POST” Spring信息: -使用Spring Security 3.2.5 -使用Spring
-
关闭Spring靴执行器安全装置
我正在Lynda.com https://www.lynda.com/spring-tutorials/spring-boot-actuator/653258/709599-4.html?autoplay=true上学习spring-boot教程,演示者简单地说关闭管理安全性这就是application.yml的样子 是否有一种方法可以将application.yml设置为默认属性文件,我在这里遗
-
美团信息安全部一面(已挂)应急的case 实习深挖 SQL注入盲注和非盲注的区别以及防御 黄金票据和白银票据的区别 常见拿票据进行委派攻击的手段 有了解DCSync的协议吗? zerologin你了解吗? linux有哪些提权方式? 溢出漏洞是怎么提权的? fastjson新版本漏洞有研究过吗? 总体发挥不太好,晚上突击电话面试,下午刚完成一笔试,一面试,脑子有点乱 我不太懂系统安全,逆向二进制这块,主要了解web和内网这
-
亚信安全 - java后端开发一面自我介绍? 说说面向对象的理解? java 内存模型 ? 垃圾回收的目的? 什么时候会进行垃圾回收? 常用那些集合?有什么特点? Map可以存储重复数据么? list 集合如何去重? Redis工作原理? Redis如何优化登录流程?目的是什么?达到什么效果? Kafka工作原理 ?Kafka和RabbitMQ有什么区别? 为什么选择Kafka? Kafka有什么缺点 ? ES读写流程? 如何
-
Google的X509TrustManager接口的不安全实现
问题内容: 我在Google Play中有一个应用,我收到了来自Google的邮件,内容是: 此电子邮件末尾列出的您的应用使用了X509TrustManager界面的不安全实现。具体而言,在与远程主机建立HTTPS连接时,该实现会忽略所有SSL证书验证错误,从而使您的应用容易受到中间人攻击。 为了正确处理SSL证书验证,只要服务器提供的证书不符合您的期望,请在自定义X509TrustManager
-
如何用Node.js实现安全的REST API
我开始用node.js、express和MongoDB规划一个REST API。该API为一个网站(公共和私人区域)提供数据,之后可能还会为一个移动应用程序提供数据。前端将使用AngularJS开发。 几天来,我读了很多关于保护REST API的文章,但我没有得到最终的解决方案。据我理解就是用HTTPS来提供一个基本的安全性。但如何在用例中保护API: > 仅允许网站/应用程序的访问者/用户获取网
-
第六章 Android 安全的其它话题
在本章中,我们会涉及到与 Android 安全相关的其他主题,这些主题不直接属于已经涉及的任何主题。 6.1 Android 签名过程 Android 应用程序以 Android 应用包文件(.apk文件)的形式分发到设备上。 由于这个平台的程序主要是用 Java 编写的,所以这种格式与 Java 包的格式 — jar(Java Archive)有很多共同点,它用于将代码,资源和元数据(来自可选的
-
完整的安全图像上传脚本
问题内容: 我不知道这种情况是否会发生,但是我会尝试的。 在过去的一个小时中,我对图像上传安全性进行了研究。我了解到有很多功能可以测试上传。 在我的项目中,我需要确保上传的图片安全。可能还有很多,并且可能需要很多带宽,因此购买API是不可行的。 因此,我决定获得用于真正安全图像上传的完整PHP脚本。我还认为这将对许多人有所帮助,因为不可能找到真正安全的人。但是我不是php方面的专家,因此添加一些功
-
ASp.NET MVC EF4 SQL表或字段级安全
问题内容: 我对安全性有一个不寻常的要求,我正在寻找有关最佳做法或至少是非脆弱方法的建议。 场景:Intranet系统。有关许多相关实体的数据将被视为私有数据。这被称为系统的未发布部分。只有某些用户可以访问此数据。在某些阶段,用户可以从该数据中进行选择,标记一些记录并将其发布到“已发布”侧。已发布到发布端的数据将从未发布端删除。然后,大部分系统用户都可以处理发布端的记录。 我知道这听起来像是父记录
-
PHP图像上传安全检查清单
问题内容: 我正在编写脚本以将图像上传到我的应用程序。以下安全步骤是否足以使应用程序从脚本角度安全? 使用.httaccess禁止PHP在上传文件夹中运行。 如果文件名包含字符串“ php”,则不允许上传。 仅允许扩展名:jpg,jpeg,gif和png。 仅允许图像文件类型。 禁止使用两种文件类型的图像。 更改图像名称。 上载到不是根目录的子目录。 这是我的脚本: 欢迎任何新提示:) 问题答案:
-
如何使用npm全局安装模块?
问题内容: 我最近在OSX上安装了Node.js和npm模块,我认为设置有问题: 问题答案: 如果要全局安装npm模块,请确保使用new 标志,例如: 从1.0rc开始有关npm模块安装的一般建议(摘自blog.nodejs.org): 如果要安装要在程序中使用的东西,请使用require(’whatever’),然后 将其本地安装 在项目的根目录下。 如果要在外壳程序中安装要使用的东西,在命令行
-
htmlentities()是否足以创建xml安全值?
问题内容: 我正在从头开始构建XML文件,并且需要知道htmlentities()是否会转换每个可能破坏XML文件(可能还有UTF-8数据)的字符? 这些值将来自twitter / flickr提要,因此我需要确保- 问题答案: 这不是 构建合法XML的保证方法。 如果您只担心这,请使用代替。如果您的数据表示形式与XML文档的编码形式之间存在编码不匹配的情况,则可以解决/覆盖它们(这样做会使XML