堆栈内存溢出
cost 115 ms
升级到 spring 安全 6 后角色层次结构不起作用

[英]Roles hierarchy not working after upgrading to spring security 6

我正在从 spring 引导 2.7.x 升级到 3.0.0。 按照官方文档中的建议进行更改后,我发现我的角色层次结构没有得到尊重。 我按照AccessDecisionVoter Deprecated with Spring Security 6.x中的建议将expressionHandler()添 ...

在不向服务器发送纯密码或 hash 的情况下对用户进行身份验证

[英]Authenticate User without sending plain password or hash to server

我希望用户可以登录网站的帐户。 因此,用户需要进行身份验证,但我不希望服务器有可能获取密码并访问用户存储的数据。 因此,我期待着类似于 rsa 的解决方案,例如,用户接收一个随机字符串,然后通过输入的密码对其进行修改,然后发送回服务器,服务器可以使用“公钥”解密密文",当解密后的字符串与随机字符串匹 ...

为什么开放端口 22 会带来如此巨大的安全风险?

[英]Why is opening Port 22 such a huge security risk?

我的 EC2 实例上的 SSH 连接打开了端口 22。 我的老板告诉我,保持端口 22 为 SSH 连接打开是一个安全问题,但他拒绝详细说明。 据我了解,要通过端口 22 成功访问系统,攻击者仍然需要我的访问密钥、我的秘密密钥,即便如此,仍然需要组织内高级用户的凭据才能通过端口访问任何东西。 为什 ...

Post 端点失败

[英]Failed with the Post endpoint

我正在创建一个用户注册 api,但是当我开始实施 controller 时,错误开始了,我仍然在 spring 启动,所以我对此了解不多,这个项目是我在网上找到的另一个项目的一部分.net 这个:https://www.codejava.net/frameworks/spring-boot/user ...

需要帮助反混淆恶意 PHP 恶意文件

[英]Need help to deobfuscate malicious PHP malicious file

我最近在我的 WP 安装中发现了一个 plugin.php 在执行的插件中,幸运的是返回了一些错误。 这些文件以: 并继续。 我怀疑这里涉及 HEX + eval + gzip。 我该怎么做才能知道这个文件在做什么? 这是完整文件的链接 https://pastebin.com/redDEFJM 我 ...

在 Java 应用程序中保存数据的安全方法

[英]Safe ways to save data in Java application

帐户是新帐户,但我多年来一直在这个网站上阅读,现在我需要一些建议。 在 Java 仍然很新,我正在开发一个桌面应用程序来处理与用户相关的个人信息以及他们的社交圈。 保护这些信息安全的最佳选择是什么? 我不考虑外部数据库(比如我目前使用的 MySql 用于我的测试版),因为这意味着潜在用户将不得不安装 ...

是否可以从 TOTP 代码中导出共享秘密?

[英]Is it possible to derive the shared secret from TOTP codes?

假设攻击者获得了我使用身份验证器应用程序生成的 TOTP 代码列表。 攻击者还知道验证器应用生成代码的时间戳。 使用该信息,攻击者是否可以导出或以某种方式推断出秘密? 或者他们是否可以使用此数据将秘密可能的值范围缩小到足够小的列表,以便他们可以使用蛮力来解决 go rest 的问题? ...

如何在不提示密码的情况下连接到具有 Azure sql 数据库的服务器

[英]How can I connect to the server which has the Azure sql database without prompting a password

我有一个 azure 容器实例和一个 azure sql 数据库。 我想将 azure 容器实例连接到运行数据库的服务器,因为我需要为 postgres 调整一些参数。 我想以编程方式执行此操作而不提示输入密码但又不影响安全性。 我怎样才能做到这一点? ...

如何在 aws 中最好地设置开发人员

[英]How to best setup developer in aws

我不管理 AWS,但拥有根用户帐户。 我需要让外部用户在容器中设置 nodejs 项目。 为开发人员提供对环境的临时访问的推荐方法是什么? 我假设他们不应该访问根用户帐户。 任何想法最受赞赏。 ...

为什么我的安全过滤器链不起作用?

[英]Why is my security filter chain not working?

我想允许访问我的所有页面并一次对每个页面进行身份验证,但我什至不能允许访问我的所有页面。 我的 SecurityConfig 如下(我在 spring.io 得到了这段代码): 一旦我尝试访问任何端点,我都会看到一个登录屏幕: 我无法让它工作。 为什么它要求对我的应用程序的所有端点进行身份验证? ...

JWT TOKEN问题

[英]JWT TOKEN issue

大家好,我正在开发一个身份验证后端,有点困惑,如果我正在生成 jwt,我是否需要将它存储在数据库中。 就像我想让用户登录而不是令牌将生成并存储在 cookie 中,并且每当用户访问秘密页面(需要身份验证才能打开)时,他从该页面发送请求并且 jwt 将验证令牌但确实过期后还能用吗? 我需要将 jwt ...

无法在易受攻击的程序中注入 shellcode

[英]Unable to inject shellcode in vulnerable program

我正在研究基于堆栈的缓冲区溢出漏洞。 我想注入我写的以下 shellcode: 我禁用了 ASLR ( echo 0 > /proc/sys/kernel/randomize_va_space ) 并使用-fno-stack-protector -z execstack编译了程序,但仍然在我 ...

用于 docker 扫描 azure 管道的 Snyk CLI

[英]Snyk CLI for docker scan azure pipeline

我需要对 Azure 容器运行 snyk 扫描,并将其设置为仅当与之前的图像相比发现新漏洞时才会失败我确实按照 snyk-delta 文档在 azure 中配置任务,但任务失败了。 建议使用 snyk cli 在 azure 管道中扫描不确定如何配置它我们想在输出管道中添加 snyk-delta ...

将密码放入请求对象是否安全

[英]Is it safe to put password into request object

我想将用户密码放入请求对象中,以便在下一个请求对象中访问它。 安全吗? 例如: 我们有一条类似“http://localhost/my_bank”的路线。 在访问路由之前有两个中间件。 第一个中间件检查用户的密码,如果是,则将密码放入请求对象并继续第二个中间件。 第二个中间件使用 request.p ...

我们可以防止篡改离线 HTML 页面或 PWA 吗?

[英]Can we prevent tampering with an offline HTML page or PWA?

考虑一个系统,我们想向某人发送一个纯 HTML+JS 文件,当在浏览器中加载时,它会自行“执行”。 (灵感来自Portable Secret ,它用密码保护可以离线共享的文件的秘密,以提供非常方便的用户体验)。 该系统有很多缺陷。 其中之一是 HTML 文件在操作系统上时可以被修改,以执行任何操 ...

如果他们使用密码注册,我应该向使用 gmail 帐户登录的用户请求密码吗?

[英]Should I request password from users logging in with gmail account if they registered with a password?

我平台的用户可以用email & 密码注册。 当他们希望重新登录时,他们可以使用第 3 方集成(例如 Gmail)来验证他们的 email。 我在多个网站(例如 Zapier)上看到,即使我使用 Gmail 集成进行了身份验证,他们在登录时仍然要求我提供原始密码。 如果他们已经验证这是我的 ...

这是将 iframe 打开到 PHP 代理脚本的安全方法吗?

[英]Is this a secure way to open an iframe to a PHP proxy script?

我们在我们的网站上使用由受信任的第三方提供的工具。 基本前提是: 用户点击链接模态窗口打开,其中包含源位于第三方网站上的 iframe 用户与该工具交互,完成后,iframe 消息会发送回给我们我们收到 iframe 消息并关闭模式并做我们想做的任何其他事情一切正常。 但是,我们也使用第三方屏幕录 ...


排序:
质量:
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM