Articles of security

Веб-вход с использованием открытого / закрытого ключа ssl?

Возможно ли создать процесс входа в систему, требующий открытого / закрытого ключа через веб-браузер? Открытый ключ будет храниться на сервере, и закрытый ключ будет храниться (и зашифрован) пользователем. Я в основном хочу сделать что-то похожее на то, что делает SSH, но через Интернет. Возможно, пользовательский метод проверки подлинности HTTP (кроме «Дайджест»). Я знаю, что это […]

Как предотвратить автоматические атаки AJAX

Как предотвратить использование ПОЛЬЗОВАТЕЛЕМ автоматических сообщений / спама? Вот мой способ сделать это, новый php-сеанс для каждого запроса страницы, который имеет свои собственные ограничения, без многозадачности. Я использовал новую сессию для каждой страницы в качестве защиты от CSRF и автоматических атак. Допустим, у нас есть форум, который использует AJAX для публикации тем и его проверки […]

Проверьте хэш пароля в nodejs, который был сгенерирован в php

Мой php-код генерирует хэш, используя password_hash который я храню в базе данных. Ниже приведен код PHP: $hash = password_hash($value, PASSWORD_BCRYPT, array('cost' => $cost)); Я хотел бы проверить / проверить пароль на этот хэш в nodejs. Я видел множество модулей узлов (bcrypt, phpass, node-bcrypt), но все они дают мне ложные. Ниже приведен пример хэша, сгенерированного в […]

Подменю типа MIME

Проверка типа mime в php довольно проста, но насколько я знаю, мим может быть подделан. Злоумышленник может загрузить скрипт php, например, типа jpeg mime. Одна вещь, которая приходит на ум, – проверить расширение файла загруженного файла и убедиться, что он соответствует типу mime. Все это предполагает, что каталог загрузки доступен для браузера. Вопрос: Существуют ли […]

PHP Oauth signature_invalid

Я не могу заткнуть мозг вокруг, почему это не работает … Я действительно думаю, что это должно быть. Пожалуйста помоги. Вот ошибка, которую я получаю: signature_invalid base_string: GET & HTTPS% 3A% 2F% 2Fwww.google.com% 2Faccounts% 2FOAuthGetRequestToken & oauth_callback% 3Dhttp% 253A% 252F% 252Fnoveis.net% 252Fauthsub% 252Findex.php% 26oauth_consumer_key% ПОТРЕБИТЕЛЬСКАЯ КЛЮЧ ЗДЕСЬ% 26oauth_nonce% 3D3bafa031c03f6d1590f2539091245270% 26oauth_signature_method% 3DHMAC-SHA1 % 26oauth_timestamp% 3D1282159845% 26oauth_version% […]

input – URL, как защитить его от xss

У меня есть текстовое поле формы, которое принимает URL-адрес. Когда форма отправлена, я вставляю это поле в базу данных с надлежащей анти-sql-инъекцией. Мой вопрос, хотя и о xss. Это поле ввода является URL-адресом, и мне нужно его снова отобразить на странице. Как защитить его от xss на пути в базу данных (я думаю, что ничего […]

В PHP, как PDO защищает от SQL-инъекций? Как работают подготовленные заявления?

Я понимаю, что правильный способ защитить db от SQL-инъекции – это использование подготовленных операторов. Я хотел бы понять, как подготовленные заявления защищают мой db. Во-первых, готовые заявления имеют то же самое, что и «параметризованные запросы»? В качестве примера, я вставляю ниже своего кода для вставки нового пользователя в таблицу пользователя. Это безопасно? Как PDO работает, […]

Разъяснения по уязвимостям XXE во всех версиях PHP

Я размещаю здесь вопрос в качестве крайней меры, я просмотрел веб-страницы и прошел множество попыток, но не смог. Репликация атаки XXE – это то, что я пытаюсь сделать, чтобы предотвратить их, но я не могу понять, как работает PHP с объектами XML. Для записи я использую PHP 5.5.10 на Ubuntu 12.04, но я провел несколько […]

PHP – безопасный переход данных с сайта на другой сайт

У меня есть сайт, который может принимать запросы с нескольких сайтов. Похоже на проверку обновления. Эти сайты отправят информацию, такую ​​как имена пользователей, пароли, версию приложения и т. Д., После чего мой сайт отправит ответ на эту информацию. В основном это запрос $_GET , что-то вроде: http://www.mysite.com/?user=boo&password=foo&version=4 Мне было интересно, будут ли какие-либо проблемы с […]

Является ли htmlentities () доказательством пули?

Я спрашивал себя о безопасности использования функции php htmlentities () от атак XSS и, возможно, связанных функций, таких как htmlspecialchars. большое спасибо 🙂

Intereting Posts