Вопросы по теме 'websecurity'
Безопасность уровня управления в ASP.Net для элементов управления на стороне сервера и на стороне клиента
У меня есть программное приложение в ASP.Net, у меня есть разные кнопки и метки ссылок, каждая кнопка имеет классы, например, кнопки добавления имеют классы btnAdd, а некоторые метки используют аналогичные классы. Что было бы лучшим подходом, если...
205 просмотров
schedule
13.01.2023
Почему я должен конвертировать & в предотвращение XSS?
Недавно я думал о вопросе, как я упоминаю в заголовке.
Как советует нам OWASP в своем ПРАВИЛЕ №1, нужно выполнить некоторые Экранирование HTML перед вставкой пользовательского ввода в HTML-страницы.
Однако в следующих случаях:...
218 просмотров
schedule
21.06.2023
Amazon-Guard-Duty для моего весеннего загрузочного приложения, работающего на AWS
У меня есть приложение весенней загрузки, работающее в экземпляре EC2 в AWS. Он в основном предоставляет конечные точки REST и API для других приложений. Теперь я хочу улучшить меры безопасности для своего приложения, такие как предотвращение...
85 просмотров
schedule
01.08.2022
как настроить hdiv с asp.net mvc 5
Я работаю над корпоративным веб-проектом для нашего правительства, но важным этапом является его безопасность. Я слышал что-то о HDIV, которые защищают наши сайты. но я не знаю, как настроить/интегрировать его с нашим веб-приложением. если кто...
62 просмотров
schedule
29.05.2023
Безопасно ли разрешать тег привязки в редакторе html?
Я разрешаю HTML внутри одной из текстовых областей в своем приложении и теперь собираюсь заблокировать определенные элементы и атрибуты HTML как при проверке на стороне клиента, так и на стороне сервера.
Мне было интересно, было бы разумно...
257 просмотров
schedule
30.05.2022
С приложением, размещенным на IIS 8: Уязвимость (CVE-1999-0450) Путь к корневому каталогу приложения раскрывается при вызове http get со случайным именем файла
Я запускаю приложение ASP.NET на IIS 8. В строках уязвимости безопасности CVE-1999-0450, когда я делаю http get с расширением файла .pl/.idq/random, открывается весь корневой путь приложения, как на изображении ниже. . обычно...
317 просмотров
schedule
14.12.2022
Ошибка при создании bean-компонента с именем projectingArgumentResolverBeanPostProcessor.
Я настраиваю веб-безопасность в своем проекте, но вижу ошибку. это ошибка
моя треска:
} Класс userSecurity:
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity
public class SecurityConfig extends...
7608 просмотров
schedule
14.05.2022
Почему доставка Content-Security-Policy предпочтительнее через заголовки?
На странице 3. Доставка политики CSP говорит
Поле заголовка HTTP-ответа Content-Security-Policy является предпочтительным механизмом доставки политики.
Но есть два допустимых механизма: доставка через HTTP-заголовок и доставка через...
309 просмотров
schedule
10.01.2024
Небезопасно ли для клиента javascript устанавливать токен CSRF?
Мне кажется, что основная цель CSRF — подтвердить, что клиент, делающий запрос, является тем клиентом, которого мы ожидаем.
Решение, которое я обычно видел, это:
Сервер генерирует случайный токен CSRF
Сервер устанавливает токен CSRF в файле...
679 просмотров
schedule
16.05.2023
Угловое приложение для аутентификации SSO с вызовом сервисного шлюза
У нас есть приложение, созданное с использованием Angular. И приложение запускает бэкэнд REST api для отображения данных.
Проблема заключалась в том,
Приложение использует аутентификацию LDAP SSO для проверки пользователя (это внутреннее...
4595 просмотров
schedule
21.04.2023
Могут ли хакеры изменить свой домен при выполнении запроса API?
Если я публикую API в общедоступном Интернете, но он предназначен только для использования моими приложениями, я могу создать белый список обслуживаемых доменов, чтобы другие домены не могли его использовать.
Но мне всегда интересно, не могут ли...
299 просмотров
schedule
03.07.2023
Когда форма G-Suite встроена на внешний веб-сайт, сохраняются ли какие-либо данные формы на хост-сайте?
Этот вопрос возникает из-за очень специфических требований HIPAA. Застрахованная организация (CE), например, врач не может использовать поставщик облачных хранилищ (CSP), если у него нет соглашения о деловом партнерстве ( BAA) с CSP, даже если...
42 просмотров
schedule
24.09.2022
Как преобразовать строку в base_64 с помощью javascript?
при разработке базового веб-проекта php, если вы используете кодировку base64, вам может потребоваться кодировать ваши переменные с помощью javascripts. надеюсь, это будет полезно для вашего вопроса
15 просмотров
schedule
10.09.2022
Уязвимость контактной формы, раскрывает пароль электронной почты
Я размещаю контактную форму на своем личном веб-сайте портфолио, и каждые пару недель адрес электронной почты, связанный с контактной формой (которая больше нигде не используется), подвергается компрометации. Каким-то образом, о котором я не знаю,...
101 просмотров
schedule
16.02.2023
Python Key-logger (.error.DisplayNameError: неверное отображаемое имя)
Я следил за учебником по созданию кейлоггера Python и столкнулся с этой проблемой. Я просмотрел свои коды около 10 раз и сравнил их с другими источниками, но все равно получаю ту же ошибку. Я видел подобные жалобы, когда искал решение, и я...
200 просмотров
schedule
28.04.2023
Проверка подписи SOAP XML WS-Security
Я могу подписать SOAP XML, используя сертификат для подписи WS-Security. Но я не могу проверить его подпись. При проверке подписи это приводит к исключению. Некоторая помощь будет оценена для решения проблемы.
Подпись WS-Security в оболочке SOAP...
1301 просмотров
schedule
11.04.2022
Требуется ли проверка идентификаторов OpenID Connect id_token и access_token, если они получены веб-сервером?
Мне интересно, есть ли в потоке кода аутентификации OpenID Connect необходимость в проверке access_token и id_token , если они получены через мой веб-сервер, а не через браузер (т.е. используя задний канал, а не передний канал)?
Под потоком...
181 просмотров
schedule
20.03.2023
Классификация предупреждений ZAP в 10 основных уязвимостях owasp
Может ли кто-нибудь подсказать, как определить из предупреждений отчета ZAP, какое предупреждение относится к какой уязвимости OWASP top 10. Например, я видел один пример отчета ZAP, в котором столбец Reference имел OWASP top 10 URL в качестве...
85 просмотров
schedule
14.06.2022
строка в \xHH в PHP
Мне любопытно, есть ли встроенный или более простой способ кодирования строки в формате \ xHH в PHP? Я пытаюсь реализовать правило 3 и правило 4 из Предотвращение XSS OWASP со встроенной функцией или более простым подходом. но в инете не могу...
63 просмотров
schedule
23.07.2023
Существуют ли какие-либо проблемы безопасности или причины не публиковать код, используемый в веб-приложении?
Я собираюсь создать свое первое веб-приложение. Я хотел бы сделать все с открытым исходным кодом, но я не был уверен, считается ли это плохой идеей. Мой план состоял в том, чтобы не публиковать какие-либо учетные данные (например, я загружал...
21 просмотров
schedule
16.09.2023