問題タブ [application-security]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
c++ - アプリケーションとセキュア チャネルの LAN ベースの認証
クライアントアプリケーションを認証し、実行するかどうかを許可するサーバーがあります。サーバーとクライアントの間に安全なチャネルが必要です。sslプロトコルとsshプロトコルの両方を使用してサーバーを作成しましたが、これらのシナリオでどちらを使用する必要があり、どちらがより論理的かわかりません。
クライアントとサーバーの両方が Qt,c++ で書かれています。
ssl は主に https や Web ベースのアプリケーションで使用され、ssh はリモート管理に使用されるため、私のサーバーには ssh の方が適していると思います。また、アプリケーションを証明書 (exe ファイルと証明書) でリリースするのは良い設計ではないと思います。
java - ユーザー アカウントの作成時にブルート フォース攻撃を文書化してログに記録する適切な方法
次のユースケースがあります。
ユーザーは、ID、名、姓、および生年月日を検証フォームに入力することで、ビジネス アカウントを自己登録できます。ID は、ユーザーだけが事前に知っているものです。ユーザーは、すべての情報を照合するために 5 回試行します
検証の試行を保存するデータベースにいくつかのテーブルを維持することを計画しています
表 1 と 2 は一対多の関係にあります。これは、ロックされる前に、ユーザーが名、姓、および住所を 5 回推測しようとした場合に何が起こるかの例です。アプリケーションはテーブル 1 の試行列をチェックし、特定の ID の試行回数が 5 回または 5 回を超える場合、ユーザー アカウント (その特定の ID を持つ) はロックされているものとして扱われます。
上記のアプローチの問題は、失敗した試行のみを ID で追跡していることです。ユーザーが ID を変更して攻撃しようとするとどうなりますか? ファーストネーム、ラストネーム、ドブを同じにしてIDを推測することで?
おそらく、ユーザーがIDを推測しようとする問題を解決するために、検証テーブルの設計とアプローチを再考する必要がありますか?? または、この問題について考えるより良い方法はありますか?
編集: これは、フロントエンド クライアントを使用した REST Api の URL です。Captcha は API を保護しないのでしょうか??
application-security - アプリケーション セキュリティのリファレンス
私は最近、アプリケーション セキュリティ エバンジェリストの役割に足を踏み入れました。私の責任の一環として、セキュリティの問題に遅れないようにする必要があります。Java C# や Python などの言語だけでなく、Web/データベース セキュリティに関連する業界の最新情報を提供する優れた Web サイトをいくつかお勧めしてください。その役割で成功するために、他のアドバイスも感謝します。
security - ZEST を使用した ZAP Ajax スパイダー認証が機能しない
次の手順に従います。 1. ZEST スクリプトを記録する (動作することがテスト済み) 2. サイトをコンテキストに含める 3. ユーザーを追加する 4. 強制ユーザーを選択する 5. スクリプトをアップロードし、スクリプトベースの認証を選択する 6. ログアウト インジケーターを定義する 7. スパイダーからログアウトを除外する8.コンテキストとユーザーを選択してAjaxスパイダーを実行します
私は何を取りこぼしたか?
java - Java で store.dat などの名前の別のファイルにファイルを追加するにはどうすればよいですか?
すべてのデータは、1 つの永続的なファイル名 secure_store.dat に格納する必要があります。
次のコマンドは、Secure Store レルムに新しいファイルを追加する必要があります。
put [path_on_OS] [file_name]
これどうやってするの ?PC 内のファイルを secure.store に追加するにはどうすればよいですか? ありがとうございました。
security - OWASP Secure Coding Practices から欠落しているプロジェクト情報
OWASP Secure Coding Practices Guideを見つけたとき、隠れた宝石を見つけたような気がしました。チェックリスト形式の情報は素晴らしいです。他の複数の外部プロジェクトへのリンクが見つからず、それらの成果物が存在しないことに失望しました。したがって、誰かがそれらについてより多くの情報を持っていることを願って、ここでそれを指しています.
- 安全なソフトウェア開発ライフサイクルの実装 - OWASP CLASP プロジェクト: 返品ページは削除されました
- OWASP Enterprise Security APIプロジェクトの PHPリンクの ESAPIが何も返さない
これらを見つけたりアクセスしたりする方法がわかりません。
android - Android OS のみがランチャー アクティビティを開くことを許可する
私の Android アプリには、悪意のあるアプリケーションによってアプリを開くことができるというセキュリティ上の脆弱性があります。Launcher アクティビティで次のインテント フィルターを使用しています。
このインテント フィルターにより、メイン アクティビティが他のアプリに公開されます。メイン アクティビティを Android OS のみに公開し、他のアプリケーションには公開しない方法はありますか。私が理解している限り、「exported=false」は使用できません。