Tag: 安全

iOS应用程序安全性的最佳实践

在考虑iPhone / iPad应用程序的安全性时,我可以注意到有: 广泛使用的黑客工具允许文件系统访问 networking拦截,男子在中间进攻 ==>数据盗窃威胁 并且: 黑客工具的可用性,允许与朋友/社区自由共享付费应用程序(见Cydia) 黑客工具的可用性,允许进入应用程序购买而不付钱(在Cydia中看到,并听说它不适用于任何应用程序) ==>收入损失的威胁 所以我想知道#1 什么是在iOS应用程序中获得更好的安全性的最佳实践? 此外,#2 什么是减less收入损失和减less黑客入侵的最佳途径 ? 对于#1我见过一些有关安全的WWDC幻灯片1 2 3 4 + 苹果文档 我可以说这些最佳实践之间有: 使用提供数据保护的API(如带有NSFileProtectionKey属性的NSFileManager) 使用钥匙串 使用SSL保护敏感数据并使用证书 对于#2我认为,使用基于免费应用程序的商业模式,然后在应用程序购买与存储收据validation可以是最小的收入损失的模型。 什么是安全性的最佳实践,并最大程度地减less应用程序黑客机会?

Spring安全与Apache Shiro

到目前为止,我所研究的大多数人都认为Apache Shiro易于使用,并且易于与CAS集成(用于SSO等)。 只是问有没有人有使用过这两种方法的经验,哪一方面比其他方法好?

有没有encryption的版本控制系统?

我正在寻找一个encryption的版本控制系统。 基本上我想 在发送到服务器之前先将所有文件在本地encryption。 服务器不应该接收任何未encryption的文件或数据。 每个其他function应该像SVN或CVS今天一样工作。 任何人都可以推荐这样的东西? 我做了很多search,但我找不到任何东西。

为什么连接失败时PDO会打印我的密码?

我有一个简单的网站,我使用PDObuild立与Mysql服务器的连接。 $dbh = new PDO('mysql:host=localhost;dbname=DB;port=3306', 'USER', 'SECRET',array(PDO::MYSQL_ATTR_INIT_COMMAND => "SET NAMES utf8")); 我在我的网站上有一些stream量,并达到了服务器连接限制,网站抛出这个错误,我的PLAIN密码! 致命错误:带有消息'SQLSTATE的未捕获exception'PDOException'[08004] [1040] /home/domain/html/index.php:xxx中的连接太多堆栈跟踪:#0 /home/domain/html/index.php (64):PDO – > __ construct('mysql:host = loca …','USER','SECRET',Array)#1 {main}在第64行抛出/home/domain/html/index.php 具有讽刺意味的是,为了安全起见,我转而使用PDO,所以这真的让我感到震惊,因为这个确切的错误是你可以在大多数使用简单http泛滥的站点上很容易引起的。 我现在已经把我的连接包装在try / catch块中,但是我认为这是灾难性的! 我是PDO的新手,所以我的问题是:为了保证安全,我该怎么做? 如何以安全的方式build立连接? 还有其他已知的安全漏洞,我必须注意这个吗?

如何阻止Web API的黑客/ DOS攻击

我的网站上周一直在遭受拒绝服务/黑客攻击。 这个攻击是在循环中随机生成无效的API密钥来触发我们的Web API。 我不知道他们是否试图猜测一个键(在math上不可能像64位键)或试图DOS攻击服务器。 攻击是分布式的,所以我不能禁止所有的IP地址,因为它发生在数百个客户端。 我的猜测是,这是一个由IP的Android应用程序,所以有人在Android应用程序中有一些恶意软件,并使用所有的安装来攻击我的服务器。 服务器是Tomcat / Java,目前web API只是对无效密钥作出响应400,并caching已经做了几次无效密钥尝试的IP,但仍然需要对每个不良请求进行一些处理。 任何build议如何停止攻击? 有没有什么办法来确定从HTTP头发出请求的Android应用程序?

我需要在Python中安全地存储用户名和密码,我有什么select?

我正在写一个小的Python脚本,它将使用用户名和密码组合周期性地从第三方服务中提取信息。 我不需要创造一个100%防弹的东西(甚至100%是否存在?),但是我想涉及到一个很好的安全措施,所以至less需要很长时间来打破它。 这个脚本没有GUI,并且会被cron定期运行,所以每次运行解密的时候input密码都不行,我必须把用户名和密码保存在encryption文件中,或者encryption在一个SQLite数据库,这将是可取的,因为我将使用SQLite无论如何,我可能需要在某个时候编辑密码。 另外,我可能会把整个程序封装在一个EXE中,因为它现在是专门用于Windows的。 我怎样才能安全地存储用户名和密码组合定期通过cron工作使用?

在PHP中检测Ajax并确保请求来自我自己的网站

我使用我的PHP后端通过检查$_SERVER['HTTP_X_REQUESTED_WITH']的值来检测AJAX请求。 这给了我一个可靠的检测,确保请求是利用AJAX技术。 我怎样才能确保请求来自我自己的域名,而不是一个外部的域名/机器人? www.example.com/ajax?true可以允许任何人进行AJAX呼叫并切断信息。 我可以为通常进入我的网站的每个人创build会话,然后允许AJAX调用..但是这也可能是假的。 这些日子甚至不重要吗?

包含它自己的校验和的文件

是否有可能创build一个文件,将包含自己的校验和(MD5,SHA1,无论)? 而打扰的笑话我的意思是校验和,而不是函数计算它。

利用ASP.NET machineKeyencryption我自己的数据

我想在ASP.NET MVC应用程序中encryption一些数据,以防止用户篡改它。 我可以使用encryption类来做实际的encryption/解密,没有问题。 主要的问题是弄清楚在哪里存储encryption密钥并pipe理对其的更改。 由于ASP.NET已经为各种事情(ViewDataencryption等)维护了一个machineKey,我想知道是否有任何ASP.NET函数让我使用machineKeyencryption/解密自己的数据? 这样我就不必devise我自己的密钥pipe理系统了。

如何创build一个laravel哈希密码

我正在尝试为Laravel创build一个哈希密码。 现在有人告诉我使用Laravel哈希帮助器,但我似乎无法find它,或者我正在寻找错误的方向。 如何创build一个laravel哈希密码? 哪里? 编辑:我知道代码是什么,但我不知道在哪里以及如何使用它,所以它给我回散列密码。 如果我得到散列密码,那么我可以手动将其插入到数据库中