問題タブ [secure-coding]

現在、私は HTTP リクエストの POST ヘッダーを暗号化しようとしています。これを行おうとしている理由は、私の会社が重要なプロセスを処理しており、最近、お客様のコンピューターで Firefox の Firebug を使用してパスワードが取得されていることが判明したためです (POST ヘッダーの取得と盗難コントロールとして設定したすべてのパスワード)

POST ヘッダーを暗号化する優れたライブラリはありますか? そうでない場合、それらのヘッダーでそのレベルの保護を実現するにはどうすればよいでしょうか? 注: 自己署名証明書はリスクがあるため使用できません。

ユーザーが inspect 要素を使用して ('+res.id+') および ('+res.level') を変更できるようにしたくありません。変更すると送信ボタンの結果が変わるからです。

たとえば、「+res.id+」は = 2 であり、2 は火竜に等しいが、人が検査要素を使用する場合、その 2 を 1 に変更し、1 は雷竜に等しい。その後、戦闘をクリックすると、ファイアドラゴンがライトニングドラゴンに変更されました。基本的に、彼らは誰とでも/何でも好きなように戦うことができます。

とにかく、人々がこれらの変数を変更できないようにする方法はありますか、または変数が変更されたかどうかを確認して、ユーザーにエラーメッセージを送信できますか?

すべての ASP Cookie を安全であると宣言する必要がありhttponlyます。コードはクラシック ASP であり、IIS ver is 6.0.

Cookie は次のように定義されています。

アプリケーションによって作成された Cookie のプロパティを変更する方法はありますか?

セキュアコーディングサイトが説明しているように：

Blockquote 以下の違反コード例は、プライベート コンストラクタを持つクラス Ser を示しており、クラスの外部のコードがそのインスタンスを作成できないことを示している。このクラスは java.io.Serializable を実装し、パブリックな readObject() および writeObject() メソッドを定義します。したがって、信頼できないコードは、readObject() を使用して再構成されたオブジェクトを取得し、writeObject() を使用してストリームに書き込むことができます。

ご存じのように、writeObject および readObject メソッドはプライベートとして定義する必要があり (また static キーワードなしで!)、これらのメソッドは JVM によって呼び出されません。

私の質問は、これらの方法が安全でない理由です。これらのメソッドは JVM によって呼び出されることさえありません!! このコードが安全でない可能性があり、攻撃者がデータにアクセスできることを示すサンプル コードが必要です。

どんな助けでも大歓迎です。

POST 要求によって Web サイトを認証する VB .NET Windows フォーム アプリを作成しようとしています。ユーザーのログイン情報が有効な場合は、「ようこそ」と表示され、アプリケーション認証が成功します。私のウェブサイトはphp + mysqlでコーディングされています!

問題は、安全ではなく、多くの手法でバイパスできることです..

サーバー側を認証するVB .NETで安全なアプリを作成する方法は? 任意の方法？可能であればコードを提供してください。最も安全にするためのコードまたはその他の最適な言語はありますか?

I have found issue with requireSSL="true" property in unsecured server (without SSL) in web.config code line in UAT - <httpCookies httpOnlyCookies="true" requireSSL="true" lockItem="true" />.

For CSRF (Cross Site Request Forgery) fix, we are using:

We cannot read secure cookie from unsecure server. So requireSSL property should be false in web.config for unsecure server.

If we make requireSSL="false" CSRF fix works fine but all cookie becomes unsecure which generate other issue [Missing Secure Attribute in Encrypted Session (SSL) Cookie].

We have also attached CSRF fix code in which function PreventCSRF() is being called by OnInit(EventArgs e) event in Default.aspx.cs page.

In local we don’t have SSL, requireSSL="false" is working fine with CSRF fix but not for [Missing Secure Attribute in Encrypted Session (SSL) Cookie]. So fix for both CSRF and [Missing Secure Attribute in Encrypted Session (SSL) Cookie] issues depend on each other.

There are 2 Queries-

1. As in UAT, SSL is managed in load balancer level, IIS boxes do not have SSL certs installed in them. Can we read secure cookie using Request.Cookies[AntiXsrfTokenKey]?

2. If we do requireSSL="false" then CSRF fix works fine but all cookie becomes unsecure means [Missing Secure Attribute in Encrypted Session (SSL) Cookie] issue persist for all cookies.

HTTPS ページで Google フォントを使用しているのに、Chrome で「安全でないスクリプト」のように扱われる場合。

この問題を回避する方法はありますか?

私はこれを取得しています：

http://snag.gy/9FAx3.jpg

そして、私は@importそれをインポートするために使用しています。