《信息安全工程师》专题

问题内容： 在我的网站上，我有一个名为的变量，其中包含来自表单的输入。然后，我在用户页面上显示此变量（通过echo）。 使用此变量来避免任何安全风险的最佳方法是什么？我使用，但这还不够。 此变量也将保存到MySQL数据库。 问题答案： 为避免严重的安全问题，必须执行两项非常重要的操作。 您需要先对用户输入进行转义，然后再将其放入SQL查询中。转义表示转义所有特殊字符，如; 幸运的是，有一个函数已经

我想使用Apache Camel 2.14中新的Rest DSL来创建一个Rest接口。我想使用Jetty组件，我有一个基本的示例设置，如下所示： Spring Security配置 驼峰路线配置 当我尝试使用wget访问此受保护的URL时： 然后我在控制台中得到这个错误： 我的配置中缺少了什么来让它工作？

这是配置log4j2的代码。xml文件。问题是sonar在setConfiguration上显示了安全热点问题。如何避免？

拒绝许可。无法访问存储桶..请访问Firebase控制台中的Storage选项卡，为您的存储桶启用Firebase存储，并确保您有足够的权限来正确提供资源 在谷歌搜索如何设置这些安全规则，我不确定什么是正确的答案。一些答案建议我在代码中编写方法来授予权限，但文档建议我需要在Firebase的端进行。 这是其中一个例子 我无法理解人们的回答 就像几个月前的这张 有人能解释一下当前的Firebase（

我正在使用我的网站中的firebase存储和帐户系统。这就是为什么，我必须放一些js代码（包括api键）。我能把这个密码藏起来吗。因为有人可以用这个api代码黑我的firebase（创建数十亿个帐户或添加数十亿个文件）。感谢你的帮助.

我想要受保护的网址 /admin/和我使用symfony书，但不工作罚款，我有用户不是用户捆绑只是实体用户和字段角色=ROLE_ADMIN或ROLE_USER，ROLE_FREELANCER。我有SecurityBundle在标准完成。现在，如果我输入的开发人员有ROLE_FREELNANCER我去这个角色的行动，但如果我过去的网址admin/Tim/dashboard这个开发人员输入这个网址，这

我正在将程序从JApplet迁移到Java Web Start，我遇到了安全问题。我的程序是用我公司的证书签署的，我还将我的网站添加到Java控制面板的例外列表中，但它仍然给我这个错误： 我的Java例外网站列表： 我的JNLP文件如下所示： 我使用java 1.8。0_73。Jar文件由正确签名。你知道如何在没有这个错误的情况下用网络启动应用程序吗？HTTP服务器在我的本地电脑上。当我用JNLP

如何使用Java8 Nashorn安全地执行用户提供的JS代码？ 该脚本为一些基于servlet的报告扩展了一些计算。该应用程序有许多不同的（不受信任的）用户。脚本应该只能访问JavaObject和定义的成员返回的那些。默认情况下，脚本可以使用Class.forName（）（使用我提供的对象的. getClass（））实例化任何类。有没有什么方法可以禁止访问任何我没有明确指定的java类？

我得到了一个Spring Boot2Reactive Web应用程序，它目前有一个基于JWT的身份验证系统。现在，我想添加一个LDAP后端用于身份验证，并通过Kerberos允许单点登录(SSO)。 似乎Kerberos和LDAP支持目前仅限于webmvc，没有专用的反应版本可用。 由于关于将所有3个组件(WebFlux,LDAP+Kerberos）集成到一个应用程序中的文档非常少，我想问一下是否

我们在Salesforce中开发了一个应用程序，它使用DocuSign web服务API（https://demo.DocuSign.net/API/3.0/dsapi.asmx用于开发，https://www.DocuSign.net/API/3.0/dsapi.asmx用于生产）。当我们对这两个API进行安全扫描时，几乎没有发现漏洞。我们使用ZAP工具进行安全扫描，发现以下漏洞： x-fram

我们正在尝试配置Liberty服务器，以便通过WSRP托管自定义JSR286 Portlet并将其呈现给IBM Portal。完成了功能和LDAP、LTPA和SSO的默认服务器配置，并部署了两个IBM WSRP 2.0 Producer EAR文件。通过在web中设置环境变量，一个配置为不安全，另一个配置为WS-security。分别是xml文件。 在门户服务器上，我们可以从非安全生产者处获取使用

我的Spring Boot应用程序正在调用许多外部soap服务。当我在本地机器中运行应用程序时，我需要使用keytool命令在我的JVM中安装所有的安全证书。然而，当我将我的应用程序部署到pivotal cloud foundry平台时，应用程序并没有抱怨安全证书。我使用的服务主要托管在运行在不同数据中心上的weblogic集群中。对于部署在pcf平台上的应用程序为什么不要求安装安全证书，有没有可

我创建并使用RSA公钥/私钥来加密/解密一些消息，我将它们作为字符串存储到sharedpreferences中，当我需要它们时，我从字符串创建它们。一切工作都很完美，但是将我的私钥作为字符串存储在sharedpreferences中是否安全。带着这个问题： SharedPreferences模式_Private安全性 我了解到，有人可以访问我的sharedpreferences并可以从字符串生成我

我有一个auth-cas库，它为我的spring boot项目提供身份验证。在这个auth-cas库中，有一个类扩展并使用以下配置函数 由于这应该是黑框，所以我添加了自己的，如下所示： 我的自定义AuthenticationProvider实现了“AuthenticationProvider”，并在页面中工作，将我重定向到/login页面，我可以使用用户库中的凭据登录。唯一的问题是，当我已经登录到

我试图在wildfly上保护一个演示web应用程序。我已经在单机版中定义了这个安全域。xml 然后在web-inf下，我在web.xml中定义了这个安全约束 以及jboss网站上的这些内容。xml 问题是，如果我转到/projects URL，我不会重定向到登录页面，就好像忽略了约束一样。