标签: security

网站example1.com嵌入了Youtube视频.网站example2.com有一个iframe显示example1.com的网站.似乎由于Youtube政策,可以从example1.com观看此视频,但不能从example2.com(内部iframe)观看.有没有办法让它发挥作用？谢谢

我一直试图解决这个问题一段时间了.

我已经构建了一个在我们客户端的服务器上运行的应用程序.客户必须为每个用户购买许可证才能使用该系统.因此,每个用户在他/她的计算机上都有一个链接,只能使用该计算机访问该应用程序.每台计算机都必须为每个用户注册并存储在数据库中.

所以我必须限制用户使用另一台计算机/设备访问应用程序.我的问题是如何使用php(或任何其他语言)从每台计算机捕获唯一信息,因此我可以在每次用户尝试登录时检查此信息.我了解到你只能使用php获取浏览器信息.所以我正在寻找一些可以指引我正确方向的想法.

我试过的是在每台PC上存储唯一的cookie,并将它们注册到数据库中.但问题是我们总是遇到一些用户清除cookie而无法访问应用程序的问题.

我正在开发一个Android电子邮件客户端应用程序和使用kso​​ap2库调用webservices,并编写一些加密算法来加密我的客户端中的数据.

在一些网站上,我读过"可以使用一些反编译器对apk进行反编译".(即)从apk文件中获取源代码.

但我想保护我的代码.反编译后不显示加密算法代码或不想解压缩我的apk文件.有可能吗？请你提一些建议吗？

我有一些接受许可证加密密钥的应用程序.所以这个应用程序应该保留在内部string encryptionPassword ,以便解密该字符串并获取一些数据.

哪个是保留string encryptionPassword在应用程序内部的最佳方法,所以如果用户试图破解它并且应该非常困难？

任何线索？

谢谢!!!

public static string Encrypt(string textToEncrypt, string encryptionPassword)
{
            var algorithm = GetAlgorithm(encryptionPassword);

            byte[] encryptedBytes;
            using (ICryptoTransform encryptor = algorithm.CreateEncryptor(algorithm.Key, algorithm.IV))
            {
                byte[] bytesToEncrypt = Encoding.UTF8.GetBytes(textToEncrypt);
                encryptedBytes = InMemoryCrypt(bytesToEncrypt, encryptor);
            }
            return Convert.ToBase64String(encryptedBytes);
}

public static string Decrypt(string encryptedText, string encryptionPassword)
{
            var algorithm = GetAlgorithm(encryptionPassword);

            byte[] descryptedBytes;
            using (ICryptoTransform decryptor = algorithm.CreateDecryptor(algorithm.Key, algorithm.IV))
            {
                byte[] encryptedBytes = Convert.FromBase64String(encryptedText);
                descryptedBytes = InMemoryCrypt(encryptedBytes, decryptor);
            }
            return Encoding.UTF8.GetString(descryptedBytes);
}

我还要补充一点,我正在mysql考虑扩展.我知道mysqli或PDO应该使用.如果我使用jQuery Validation来验证客户端(例如电子邮件),我是否也应该在服务器端执行(确保它不是空白且是有效的电子邮件)？

我只是想知道我是否通过简单地不验证服务器端来打开跨站点脚本漏洞或SQL注入或其他任何问题,或者只要我在表单数据时采取安全措施,我就会好起来正在提交.

可能重复:
如何防止SQL注入？

我正在我的网站上建立一个评论系统,我想知道这是否保存.我使用PHP和MySQL. - 不要使用下面的代码,这是非常不安全的 -

创建新评论:

1. 用户写入$ comment,提交它
2. $ comment = addslashes($ comment);
3. 在MySQL数据库中插入$ comment

阅读评论:

1. 用户请求评论,数据库发送$评论
2. $ comment = htmlspecialchars(stripslashes($ comment));
3. echo $ comment;

系统应该安全,不受HTML操作和MySQL注入的影响.还有我不知道的所有其他讨厌的东西.我做得对吗？

奖金问题:我应该在我的MySQL表格中使用什么排序规则进行$注释？

编辑:哇我不认为我的问题会导致这个大讨论.谢谢你的所有答案:)

如何让我的网站在浏览器的地址栏中显示绿色标签:

我是否需要使用https或者它是一个更复杂的过程？

我正在尝试找到一种方法来验证代码中二进制文件的签名证书.例如,如果您运行命令:"codesign -vvvvd/YourApp/Executable",您可能会收到输出:"Authority:Apple Root CA"等.我正在寻找在代码中执行此操作的方法.任何正确方向的推动或推动都会很突出.

谢谢!

下面的代码使用PRNG(伪随机数生成器)Random类为初始临时密码生成密码字符,而不是RNGCryptoServiceProvider应该使用的密码安全性更高.

但是,它使用RNGCryptoServiceProvider生成的PRNG的种子,所以我想这也许值得的东西,而不是根据一天中的当前时间播种是典型的做法使用PRNG那里的安全是不是问题的时候.

我的问题是:为了破坏密码生成系统并猜测新用户的密码,这种攻击方法有多容易或多难？

// Generate 4 random bytes.
byte[] randomBytes = new byte[4];
RNGCryptoServiceProvider rng = new RNGCryptoServiceProvider();
rng.GetBytes(randomBytes);

// Convert 4 bytes into a 32-bit integer value.
int seed = (randomBytes[0] & 0x7f) << 24 | randomBytes[1] << 16 | randomBytes[2] << 8 | randomBytes[3];

// Now, this is real randomization.
Random random = new Random(seed);

然后代码继续random.Next()用于生成填充密码字符串的字符.

免责声明:此代码不属于我的发明.不要因为它而责备我,也不提供如何解决它的建议.我知道如何解决它,我知道它很糟糕.不要浪费时间回复.任何有关此效果的评论或答案都将被标记为垃圾邮件.我只在我们的代码中找到它并且对它的"安全"属性感到好奇.

我已经读过,在cookie中存储登录信息存在安全风险,因为用户可以轻松编辑它们.我的问题是,如果我存储的所有内容都是cookie中的用户名和密码,那么为什么它存在风险？如果我只是创建了一个简单的身份验证脚本,以确保在从数据库中检索信息之前密码和用户名匹配,为什么这会有风险？编辑cookie的用户仍然需要知道匹配在一起的正确用户名和密码才能获得访问权限.我打算这样做,这样用户可以在会话结束后保持登录状态.