Tag: 安全的

不能使用前导../来退出顶层目录

我有一个asp.net的网站,我们有pipe理员只有pipe理员的login页面的所有网站是允许所有 – 我需要问如何定义正确的安全configuration,因为我得到这个错误 不能使用前导..从顶端目录之上退出。 说明:执行当前Web请求期间发生未处理的exception。 请查看堆栈跟踪,了解有关错误的更多信息以及源代码的位置。 exception详细信息:System.Web.HttpException:不能使用前导..以退出顶部目录。 源错误: 在执行当前Web请求期间生成未处理的exception。 有关exception的来源和位置的信息可以使用下面的exception堆栈跟踪来标识。 堆栈跟踪: [HttpException(0x80004005):不能使用前导..以退出顶部目录。] System.Web.Util.UrlPath.ReduceVirtualPath(String path)+8862087 System.Web.Util.UrlPath.Reduce(String path)+52 System.Web.Util.UrlPath.Combine(stringappPath,stringbasepath,string相对)+214 System.Web.UI.Control.ResolveClientUrl(String relativeUrl)+180 System.Web.UI.WebControls.Image.AddAttributesToRender(HtmlTextWriter作家)+68 System.Web.UI.WebControls.WebControl.RenderBeginTag(HtmlTextWriter作家)+20 System.Web.UI.WebControls.WebControl.Render(HtmlTextWriter作家)+20 System.Web.UI.Control.RenderControlInternal(HtmlTextWriter作家,ControlAdapter适配器)+27 System.Web.UI.Control.RenderControl(HtmlTextWriter作家,ControlAdapter适配器)+99 System.Web.UI.Control.RenderControl(HtmlTextWriter作家)+25 System.Web.UI.Control.RenderChildrenInternal(HtmlTextWriter作家,ICollection的孩子)+134 System.Web.UI.Control.RenderChildren(HtmlTextWriter作家)+19 System.Web.UI.HtmlControls.HtmlForm.RenderChildren(HtmlTextWriter作家)+163 System.Web.UI.HtmlControls.HtmlContainerControl.Render(HtmlTextWriter作家)+32 System.Web.UI.HtmlControls.HtmlForm.Render(HtmlTextWriter输出)+51 System.Web.UI.Control.RenderControlInternal(HtmlTextWriter作家,ControlAdapter适配器)+27 System.Web.UI.Control.RenderControl(HtmlTextWriter作家,ControlAdapter适配器)+99 System.Web.UI.HtmlControls.HtmlForm.RenderControl(HtmlTextWriter作家)+40 System.Web.UI.Control.RenderChildrenInternal(HtmlTextWriter作家,ICollection的孩子)+134 System.Web.UI.Control.RenderChildren(HtmlTextWriter作家)+19 System.Web.UI.Control.Render(HtmlTextWriter作家)+10 System.Web.UI.Control.RenderControlInternal(HtmlTextWriter作家,ControlAdapter适配器)+27 System.Web.UI.Control.RenderControl(HtmlTextWriter作家,ControlAdapter适配器)+99 System.Web.UI.Control.RenderControl(HtmlTextWriter作家)+25 System.Web.UI.Control.RenderChildrenInternal(HtmlTextWriter作家,ICollection的孩子)+134 System.Web.UI.Control.RenderChildren(HtmlTextWriter作家)+19 System.Web.UI.Page.Render(HtmlTextWriter作家)+29 System.Web.UI.Control.RenderControlInternal(HtmlTextWriter作家,ControlAdapter适配器)+27 System.Web.UI.Control.RenderControl(HtmlTextWriter作家,ControlAdapter适配器)+99 System.Web.UI.Control.RenderControl(HtmlTextWriter作家)+25 System.Web.UI.Page.ProcessRequestMain(布尔includeStagesBeforeAsyncPoint,布尔includeStagesAfterAsyncPoint)+1266 我的configuration文件: <authentication mode="Forms"> <forms name=".ASPXFORMSAUTH" protection="All" loginUrl="Admin/LoginPage.aspx" path="/" enableCrossAppRedirects="true"> […]

OAuth2和Google API:访问令牌过期时间?

我们有一个独立的Java应用程序(请参阅“安装的应用程序”: https : //developers.google.com/accounts/docs/OAuth2 ),它定期运行并使用Google API(更新来自客户数据库/ ldap / …的一些信息) 。 要访问Google API,我们将用户名和密码存储在configuration文件中,这是一种安全风险,客户不喜欢这样做。 所以我们希望使用OAuth2长生存取令牌。 Google OAuth2访问令牌的默认到期时间是什么? 因为我们只有在应用程序中访问令牌,所以当访问令牌到期时,应用程序本身不能刷新它。 就我个人而言,我认为在这种情况下OAuth2的实施不会带来任何重大的好处,但让我们专注于主要问题 – 默认到期时间。

使用PowerShell V2的Send-MailMessage通过gmail发送邮件

我试图找出如何使用PowerShell V2的Send-MailMessage与Gmail。 这是我迄今为止。 $ss = new-object Security.SecureString foreach ($ch in "password".ToCharArray()) { $ss.AppendChar($ch) } $cred = new-object Management.Automation.PSCredential "uid@domain.com", $ss Send-MailMessage -SmtpServer smtp.gmail.com -UseSsl -Credential $cred -Body… 我得到以下错误 Send-MailMessage : The SMTP server requires a secure connection or the client was not authenticated. The server response was: 5.5.1 Authentication Required. Learn more at At foo.ps1:18 […]

将文档作为Blob存储在数据库中 – 有什么缺点?

我的文件pipe理系统的要求是: 必须通过简单复制目录,文件等来防止盗窃 必须对传统的病毒感染(物理文件感染) 必须快速检索 对于随便的(目录)浏览用户来说,存储库是不可见的。 我决定将所有文档(和扫描的图像)作为斑点存储在数据库中,到目前为止,我的经验非常棒,文档检索也非常快速 – 它符合上述所有标准,甚至还有一些额外的优势,例如与相关实体一起自动保存文档,轻松快捷地浏览内容,在文档的打开和命名周围移除各种用户活动等。 我的问题是 – 在这个devise和实施中,是否有任何严重的风险或者我忽视的东西? 编辑注意:数据库是PostgreSQL,非常好地处理BLOBS和规模exception好。 环境是多用户。

在Firefox中禁用跨域networking安全

在Firefox中,我如何在Chrome中执行相同的–disable-web-security 。 这已经发布了很多,但从来没有一个真正的答案。 大多数是附加组件的链接(其中一些在最新的Firefox中无法使用,或根本无法使用)以及“只需要在服务器上启用支持”。 这是暂时的testing。 我知道安全影响。 我不能打开服务器上的CORS,我特别是永远不能允许本地主机或类似的。 一个标志,或设置,或什么比一个插件会好很多。 我也尝试过: http : //www-jo.se/f.pfleger/forcecors ,但是一定是错误的,因为我的请求回来完全是空的,但是在Chrome中同样的请求返回正常。 再次,这只是为了testing之前推动哪一个,然后,将在一个允许的领域。

IE 11第一方会话cookie在iframe中丢失

我们有一个网站(www.example.com),它将用户发送到一系列第三方页面来validation支付细节,我们在iframe中执行此操作。 最初,来自www.example.com的本地页面被加载到iframe中,并且用户被redirect到第三方URL。 一旦用户完成了第三方的步骤,他们就会被redirect回到我们网站(www.example.com)中的iframe内的页面。 这适用于我们testing过的所有浏览器,除了IE 11,我们的cookies似乎丢失了。 我们已经在Windows 7和8.1下同时在桌面和“Metro”模式下进行了检查,问题是所有版本。 当用户浏览我们的网站时,我们设置了一个会话cookie,该cookie被正确发送到最初加载到iframe中的第一方页面。 一旦用户浏览了此iframe中的某些第三方页面,会话cookie将不会随下一个请求一起发送。 如果我们将IE 11的隐私设置设置为最低值,则此问题消失,事情按预期工作。 到目前为止,所有可能的解决scheme都与P3P标题有关。 我们有一个有效和正确的P3P头和XML策略文件的设置,而这个问题只发生在IE 11中。 更新:我们有一些使用JS设置的其他cookie。 这些都是如预期般坚持。 不同的是到期date(1年的JScookies,1个月的会话cookie),域名(明确“example.com”的JScookies,空的会话cookie),以及他们是否“仅HTTP”(假JS cookies,会话cookie为true)。 我已经尝试设置所有这些选项作为会话cookie的JS Cookie,但没有什么区别。 更新2:经过更多的testing,我一直无法创build一个testing用例来重现这个问题。 任何额外的cookies,我尝试在实时代码中testing,但似乎也被打破,即使他们设置完全相同的代码作为工作的JScookies。 简而言之; 我还没有find任何工作和不工作的cookies模式。 一个可能有趣的事情要注意的是,Cookie不会被删除,他们只是没有被发送到最后的要求。 如果加载了另外一个页面,cookies会奇迹般的重新出现并被发送; 这导致我相信这是一个围绕iframe和P3P的bug。 更新3(第3天): IE 11的Cookie处理继续混淆我。 我进入微软迷宫的路越远,我就越是迷失了自己。 这里有鬼。 半梦见的安全政策碎片已经把自己编织成了一个空灵的动物,一举一动跟踪和嘲笑我。 起初,我惊呆了,惊恐地发现,几乎不可思议的forms只是在视线之外飞奔而来,但随着时间的推移,我只能从其接近的知识中获得更多的安慰。 难道这是我被派到这里面对的野兽吗? 我怎么能在这样的时候杀死我唯一的同伴?

我如何在没有会话的情况下使用Spring Security?

我正在使用Spring Security构build一个Web应用程序,该应用程序将位于Amazon EC2上,并使用Amazon的Elastic Load Balancer。 不幸的是,ELB不支持粘性会话,所以我需要确保我的应用程序没有会话正常工作。 到目前为止,我已经设置了RememberMeServices通过一个cookie分配一个令牌,这工作正常,但我希望Cookie与浏览器会话过期(例如,当浏览器closures)。 我必须想象,我不是第一个不想使用Spring Security而没有会话的人…有什么build议吗?

隐藏UITextField密码

我正在做一个login页面。 我有UITextField的密码。 显然,我不想看到密码。 相反,我想要在input时显示圈子。 你如何设置这个领域呢?

SPAauthentication和会话pipe理的最佳实践

当使用Angular,Ember,React等框架构buildSPA风格的应用程序时,人们认为什么是authentication和会话pipe理的最佳实践? 我可以考虑几种考虑解决问题的方法。 假设API和UI具有相同的原始域,对待它与对常规Web应用程序进行authentication没有区别。 这可能涉及具有会话cookie,服务器端会话存储和可能的一些会话API端点,authentication的web UI可以获得当前用户信息以帮助个性化或者甚至可以确定客户端上的angular色/能力。 服务器仍然会执行保护数据访问的规则,UI将只使用这些信息来定制体验。 像使用公共API的任何第三方客户端一样对待它,并使用类似于OAuth的某种令牌系统进行身份validation。 客户端UI使用此令牌机制来validation向服务器API发出的每个请求。 我在这里并不是什么专家,但是绝大多数情况下#1似乎已经完全够用了,但是我真的很想听听一些更有经验的意见。

如果你使用HTTPS将你的URL参数安全的嗅探?

假设我设置了一个可以通过HTTPS访问的简单的php web服务器。 该url具有简单的参数,例如https://www.example.com/test?abc=123 。 在这种情况下,参数是否真的可以避免人们嗅探数据包? 如果服务器没有使用任何SSL证书,这将是真实的吗?