让我说我雇了一个“道德黑客和渗透测试”的人。他将试图破坏我的系统/网站的安全。
让我们说,那么被雇佣的人在入侵系统中是不成功的。
显然,我不是安全专家,所以我如何判断:
我的系统很安全!“安全专家”不能入侵它!
“安全专家”不足以入侵它..。
浏览 0提问于2016-12-17得票数 1
1回答
我想开发一个比特币网站,让用户将btc存入他们的私人地址,网站将产生,我被告知,我需要一个信息安全专家,以防止任何类型的黑客入侵该网站。
我想知道这种网站会有什么样的漏洞?除了我所知道的SQL注入
浏览 0提问于2018-01-01得票数 -4
回答已采纳
我很难被批准为我的网站的商人帐户。基本上我有专家用户和用户。专家用户通过我的网站提供服务,他们制定自己的费率。用户购买的服务,然后付钱给我,我给90%的专家用户。
我听说这是保理..。
像freelancer.com这样的系统是这样的吗?哪里的用户把钱存入他们的自由职业者帐户,然后支付他们赢得的服务?这种制度的负面影响是什么?
像99设计这样的网站呢?他们接受CC付款,然后支付获奖设计师。有些网站是如何做到这一点,但我有这么多困难,以获得批准?
浏览 0提问于2011-03-15得票数 2
2回答
我想知道你对使用代码触发器开发.html网页网站有什么看法?使用CI开发静态站点/pages.html好吗?
我正在考虑开发安全的静态网站。我的网站经常受到垃圾邮件发送者的攻击(注入外部代码并重定向到其他一些网站)等,
我也想用CI实现更好的SEO。
你认为专家是怎么想的?
浏览 1提问于2010-12-04得票数 0
回答已采纳
我正在使用亚马逊网络服务托管我的WordPress博客网站。所以,当我使用亚马逊主机时,不用担心任何安全问题对我来说是安全的吗?因为我听到有人说,如果你在AWS上托管你的网站,亚马逊雇佣了成千上万的安全专家来确保我们网站在网络上的安全。
我问这个问题是因为之前我使用了另一个托管在SiteGround上的网站,它被黑客入侵了,我的网站上有一些恶意软件。
我的意思是,我需要为我在AWS上的网站的安全性做些什么吗?
浏览 1提问于2020-07-29得票数 1
1回答
嗨,我有弹性负载平衡器,我已经在上面部署了我的ssl证书,当我在网站上检查时,它说网站是脆弱的,因为SSLv3是在网站上启用的。因此,我的问题是,在我的环境中到底需要做些什么,这样它才能停止对贵宾犬漏洞的报告。
我知道我需要在
/etc/httpd/conf.d/ssl.conf在线"SSLProtocol All -SSLv2 -SSLv3“
我非常感谢专家的任何评论。
谢谢。
浏览 0提问于2015-02-18得票数 2
回答已采纳
因此,比特币的创建者中本聪( Satoshi Nakamoto )宣布,他将披露自己的真实身份。我发现,由于某种原因,Satoshi公司的网站被托管在Wordpress上是无穷无尽的乐趣。我是说,我明白了,我自己使用wordpress,但从安全的角度来看,我一直认为它是无穷无尽的脆弱,我不相信任何对它真正有价值的东西。Satoshi,作为一个优秀的密码专家和开发人员(我认为)使用Wordpress使我感到困惑。
https://satoshinrh.com/wp-login.php?redirect_to=https%3A%2F%2Fsatoshinrh.com%2Fwp-admin%2F&a
浏览 0提问于2019-08-17得票数 0
回答已采纳
2回答
大多数人在许多网站上都有个人信息,比如亚马逊或者更小的网站。当我们键入创建一个帐户并添加诸如我们的地址和工作地点这样的详细信息时,从来没有说过这些信息的存储和安全程度如何。那么,我们如何知道我们可以信任一个网站是安全的呢?如果所有内容都以纯文本形式存储,或者如果它们要出售这些信息,该怎么办?有没有办法在不需要安全专家的情况下验证这一点?谢谢。
浏览 0提问于2016-07-06得票数 1
回答已采纳
2回答
目前,我正在评估其中一个网站的脆弱性,我所关注的问题之一是如何防止我的网站受到潜在的点击攻击?
我不是这个领域的专家,但到目前为止我有一些观察,
缺少X帧选项头的意味着该网站可能面临点击劫持攻击的风险。(X帧选项HTTP报头字段)指示一个策略,指定浏览器是否应该在帧内呈现传输的资源,或者可以在其HTTP响应的标题中声明此策略,以防止点击攻击。
正如我说的,我不是这个领域的专家,所以期待听到一些关于我如何使用X帧选项头来防止点击攻击的想法?
浏览 5提问于2021-08-23得票数 1
3回答
我参加了佛罗里达州奥兰多的B方会议,其中一位发言者提到了一个网站,该网站对apache和postfix等流行服务有着坚定的信任。这些吐露的作者都是匿名的,虽然他不自称是专家,但大多数人都同意他的吐露被完全封锁了。我想说的是“快船”之类的,但我不完全确定。
有没有人碰巧知道这个来源,或另一个好的来源,有硬化的基础配置。我想用这些作为一个“广域网”的起点来强化一些服务器。
浏览 0提问于2014-05-30得票数 10
1回答
我没有找到这个情况的答案,我想在尝试之前得到一个答案,然后被困住!
我希望限制从一个IP地址连接到我的EC2实例。另外,我想知道是否会禁止在控制台(亚马逊网站)内连接此实例?换句话说,假设我通常通过代理或VPN连接到这个实例。我能从任何地方通过amazon网站连接到这个实例,更改参数等吗?万一代理或VPN崩溃了呢?这似乎是个愚蠢的问题,但我不是专家,我不想被困在外面:)
浏览 13提问于2022-02-07得票数 0
1回答
我是ECC的新手。从这个网站(GlobalSign椭圆曲线密码学),一个256个椭圆曲线密钥对提供与3072位RSA密钥对一样多的安全性。
我的问题是:专家们是如何得出这个结论的?是否有一种算法可以检查或比较这两种算法的关键优势?椭圆曲线的哪个参数(a,b,G,P,N,H)对椭圆曲线的强度影响最大?
浏览 0提问于2019-12-28得票数 5
2回答
PHP过滤器与安全风险
、、、
我想和我一起创建几个PHP块,因为管理员只有编辑的能力
来自
重要注意事项:启用PHP筛选模块时需要考虑安全性问题。PHP输入过滤器引入了恶意用户使用恶意脚本攻击网站的可能性。您只应将使用PHP筛选器的权限授予您信任的人。此外,确保那些您授予的权限是合格的PHP程序员,因为错误的代码可能会破坏您的网站,并使它完全停止运作。为这个模块(和其他潜在危险的模块)创建一个单独的角色是个好主意,比如“developer”或“webmaster”,与可能是Drupal专家而不是专家编码器的“管理员”不同,所以您只能将其授予那些符合这些标准的人。
这是否意味着存在来自外部攻击的风险,还是说我最好只添
浏览 3提问于2013-02-28得票数 0
2回答
我正在创建一个网站,将允许用户输入他们的银行帐号,以便我可以支付他们的服务。我并不是一个安全专家,我想了解一下加密这些数据的最佳实践。
到目前为止,我已经收集到,至少我应该使用盐进行256位加密。我还能采取什么其他措施,或者这是否足以采取足够的安全措施?
谢谢
浏览 0提问于2014-02-11得票数 1
我正在做一个Laravel项目,我想要有一个textarea和一个execute button。textarea将用于编写C或C++代码,该按钮将在我的网站的任何地方显示输出。我不知道我所想的可能是愚蠢的,但如果可能的话,我想从专家那里得到一些建议。提前感谢
浏览 1提问于2015-11-30得票数 0
我绝对不是安全专家。我拥有一个非常小的个人网站,我主要是为了练习而用php编写的。
我注意到日志里有个奇怪的url电话
process.php?d=MV0f+F6R+6Nn/B4VDh1FRJ9fSEjpPw==&b=1
我试着自己跟踪那个url,但它除了404之外什么也不去。
我不想从轨道上核爆我的网站。至少我可以采取哪些步骤来确定是否真的发生了任何事情。
这个网站是用symfony 4写的(不管它值多少钱)。
浏览 0提问于2019-09-26得票数 0
回答已采纳
6回答
嘿,对任何专家来说,我有一个简短的问题。我有一个网站,让用户通过消息互动,并注册您只需创建一个用户名和密码,验证您的年龄,并可选,添加一封电子邮件。我想真的没有什么敏感信息。是否值得使用https。它会阻止session hi jacking吗?会不会影响性能?
浏览 0提问于2010-03-31得票数 14
回答已采纳
2回答
一位新客户要求我提高他的网站排名。他说,他的前SEO专家声称,由于他的网站被长期污损了几次,他几乎不可能提高网站的排名。
多网站污损对SEO有多大的影响。回想起来,我们能做些什么来看损害是什么呢?是否有任何工具可以量化或表明这种损害?我能做些什么来弥补这种伤害吗?
浏览 0提问于2014-01-29得票数 3
回答已采纳
大家星期六好!
希望你是冷冰冰的,尽管疯狂的新冠肺炎!
我最近开始建立我的博客网站。然而,我遵守了指示,但失败了。这是网站.在这里输入链接描述
我尝试的方式是,首先我购买了域名,并指出他们之间的两个网站。然后,我看到在DigitalOcean上有一个名为“Marketplace”的选项卡,您可以在这里为wordpress启动一个do Dropet。
我遵守了指示,但没有成功。我有这个布局。我不能用谷歌搜索,因为我不知道问题出在哪里。你可以看看这个网站: wwww.xmoneytree.com
此外,它显示出“不安全”。我怎样才能保证它的安全?
有没有专家介意指出一些关键字,我可以解决这个问题?
浏览 0提问于2020-10-17得票数 0
我需要购买一些网站到网站VPN与TZ 190。
抱歉,我不是什么网络专家。我是个程序员。
有人能给我一些建议,哪些制造和模型可以站点到站点VPN与TZ 190。TZ 100能用吗?
请不要告诉我什么应该起作用,告诉我你看到了什么效果。
浏览 0提问于2011-03-29得票数 0
回答已采纳
因此,为了一些背景,我一直在Microsoft Azure (“”)上托管一个网站,最终获得了一个自定义域,但这个域没有SSL证书。
将密码和其他信息从不安全的域发送到仍然安全的azure服务器是“安全的”(我不是网络安全方面的专家,所以我确信它不是尽可能安全的,但至少是相当安全的)吗?
浏览 2提问于2016-11-26得票数 1
我在任何方面都不是密码专家,所以如果我的问题有点愚蠢,请容忍我。
我们经常使用OpenSSH密钥对,并且由于密钥对的不对称性质,据我所理解的概念,将您的公钥提供给.嗯..。“公共”-被认为是一件安全的事情,因为它只能用来验证你是真正的你。创建内容或对自己进行身份验证是针对私钥的,私钥永远不会离开您的机器,因此具有很强的安全性。
现在,考虑到上述情况作为比较,如果我使用unix工具mkpasswd创建密码哈希并将其提供给公众,并将其提供给公众,是否可以被认为是安全的?
我猜这不是一个聪明的想法,就像你在网站的用户数据库中使用散列密码一样。不过,既然这只是猜测,我想要一些专家的意见。
谢谢!
浏览 0提问于2018-07-20得票数 3
回答已采纳
我想用PHP编写一个基本的MVC框架和博客,并将其用于我自己的博客。我想把所有的东西都放在github上,让其他人玩,但似乎发布php,特别是数据库访问的东西,会使它极易受到任何数量的攻击,这些攻击我可能都不知道。
我的意思不是“哦,我把我的数据库用户/通行证推给了github",只是说所有的东西都是可见的,而且我也不是一个网络安全专家。如何知道我的数据库模型是否安全?也许我假设它比攻击网站更容易?
浏览 1提问于2012-01-08得票数 4
回答已采纳
我读过许多WordPress安全博客文章,在这些文章中,安全专家建议了一些特别的步骤,以便在有人关心他们WordPress站点的安全性时加以注意。其中之一是:
WordPress安全提示: 删除没有使用的不必要的插件。
具有安全漏洞的插件,无论是通过代码、结构还是数据库连接,即使在站点上激活,也可能对站点造成致命的影响。另一方面,一个结构良好、编码良好、数据库连接安全的插件即使在停用时也可能没有安全漏洞。那么问题到底在哪里呢?
我有一个网站,其中有一些插件,我偶尔使用。我其实不想删除他们,但当他们不需要,我只是停用他们从网站。我是否需要删除他们来保护我的网站,如果需要,为什么?
浏览 0提问于2013-12-05得票数 16
回答已采纳
2回答
有问题,寻求专家意见
如果一个网站是通过共享平台向托管公司注册的,那么该网站的会话变量是否会被在同一个共享平台上工作的其他人黑掉?
谢谢。
浏览 0提问于2015-02-09得票数 2
回答已采纳
4回答
当我浏览一些网站时,我的脑海中就会出现这样的触发器:它们在url中有大小写的组合吗,比如http://www.domain.com/Home/Article
现在,据我所知,我们应该总是在url中使用小写,但不知道技术原因。我想从你的专家那里学习清楚这个概念,为什么在url中使用小写。大写url的优点和缺点是什么?
浏览 2提问于2012-11-22得票数 32
回答已采纳
Agentn是否使用自定义$_SERVER“‘HTTP_USER_AGENT”帮助网站安全性?
我使用的是一个浏览器,您可以在其中添加和使用自己的$_SERVER‘’HTTP_USER_AGENT‘。我现在已经在我的“安全区域”的每个页面上添加了这个脚本。
<? $agent= $_SERVER['HTTP_USER_AGENT'];
$goodbrowser = 'MyCustomBrowser';
if (strstr($agent,$goodbrowser)!= true):?>
<h2 class="bd" style=
浏览 3提问于2014-03-09得票数 0
3回答
在开发网站应用程序时,我和一位朋友问了一位安全专家(在IBM工作)如何处理存储密码。经过数小时的google搜索(导致了security.stackexchange.com的几个小时的探索),我认为只要数据库中包含salt的用户数据库是安全的,只要它是一个每个用户的salt和一个缓慢的散列算法。
这位安全专家说,如果DB被破坏了,那么一切都被破坏了,这是真的。他建议“单向加密”.我不太明白。根据定义,哈希不是一种方式,而加密,从定义上来说,不是吗?
如果有人能澄清这件事,那就太好了。
浏览 0提问于2015-02-02得票数 17
回答已采纳
1回答
我正在开发一个网站,在那里用户进行给定的交易,一旦完成,用户就会得到一个“安全证书”。证书用作交易的证明,并且用户能够在稍后的阶段上载证书,以查看交易的细节。
目前,我使用的是带有加密域的自定义XML文档。它工作得很完美,但我想要一种标准化的方法,比如X.509证书。我不是加密专家,但据我所知,X.509更适合于CA发布的SSL。
是否可以创建您自己的有效有效CRT文件?作为测试,我使用上提供的示例创建了一个CRT文件。然而,当我在Windows中打开这个文件时,我得到了这样的警告:Invalid Public Key Security Object File - This file is i
浏览 1提问于2010-05-03得票数 2
回答已采纳
6回答
能否向用户证明,网站背后运行的代码与安全相关代码与发布的代码相同?
我目前正在研究一些新的项目想法,其中之一涉及到安全通信。我想使它的开源,以便审查-可由用户,更重要的是,安全专家。这可能会成功地证明所提供的代码是安全的,但是如何确保用户确实在网站上运行这些经过审查的代码呢?
我曾经想过提供一种与安全相关的文件的哈希,并将其打印出来,但是该哈希可以很容易地被静态打印出来,因此无法提供真正的确定性。使用可以从发布的源代码编译并进行比较的应用程序很容易,但不适用于网站。证书可能只会证明谁在操作站点,但他们不知道操作员是否值得信任。
用户在任何类型的保证,而不做一些飞跃的信念?
浏览 0提问于2012-12-29得票数 9
2回答
拥有唯一机器证书的安全网站
、、、、
是否有可能只允许特定客户在特定机器上访问网站?
我不是安全专家,但我的一个想法是生成一个只在特定机器上工作的证书(所以如果证书被偷了,它就不会在其他计算机上工作),然后以某种方式在网站上授权我自己(另外提供用户名和密码)。
安全性要求非常高,出于可伸缩性和可维护性的原因,我希望避免开发桌面应用程序,但安全性成为一个问题。
这在网络上是可以实现的,还是应该是纯粹的本地应用程序?
如果有任何关于这个问题的阅读材料,我将不胜感激。谢谢。
浏览 0提问于2016-09-21得票数 0
回答已采纳
1回答
网站自动电子邮件
、、、、
我在工作中收到了创建SMTP服务器的请求,这样我们的网站就可以每天/每周发送自动电子邮件。简单地说,我们有一个在node.js上运行的网站,我需要给它一种根据时间或/或其他条件自动发送电子邮件的能力。
因为我从来没有朝这个方向工作(我刚刚进入这个领域),我决定在这里提出一个问题,看看你们(专家)对这个问题有什么看法。
我可能对这件事的运行方式有错误的理解,所以你可以随意纠正我说的任何话。
浏览 1提问于2018-05-07得票数 0
回答已采纳
我们为Magento网站提供服务,需要安装Magento扩展插件。对于大型站点,此扩展需要运行后台进程,该进程需要exec函数。我们的开发人员声称,要求我们的客户在他们的站点上启用exec是合理的。
您是否同意php专家和管理员的意见?预先感谢您的意见。
浏览 0提问于2011-08-22得票数 1
1回答
我有兴趣成为一名网络安全专家。我对自己的社交技巧很满意,但我担心自己的编程技巧。对于一个网络安全专家来说,拥有先进的编程技能有多重要?你会推荐哪种语言。
浏览 0提问于2016-05-06得票数 1
回答已采纳
2回答
我有几个网站,有些是基于PHP (部署在ASP.NET上),还有一些是基于PHP(部署在Linux机上)。我想为所有网站提供一个通用的认证(甚至授权),允许用户直接注册(使用我的私人注册)或通过外部身份提供商(google/live/facebook)。
我们的计划是在.NET/MVC中构建通用身份验证,并将其部署到Azure。
据我所知,有两种选择: 1.构建oAuth(2?)服务器或2.基于Azure的ACS构建身份验证服务
有什么指南吗?选择什么?哪一个更成熟?哪一个可以更好地与混合平台(.net和PHP)集成任何最佳实践,参考示例代码等?(顺便说一下,我不是安全专家)
谢谢,Yaron
浏览 1提问于2013-11-08得票数 0
有没有办法让我( JavaScript方面的非专家)从网站上检测JavaScript攻击。我已经做了大量的搜索,但没有给出一个明确的答案。随着越来越多的站点需要启用NoScript和脚本(例如,登录到这个站点),使用非常困难。每次我点击“允许网站”,我想知道我是什么“允许”。还有一个建议,“只允许你信任的网站”并没有真正的帮助,因为很多网站都被黑了,甚至都不知道。
此外,我怀疑一个网站运行的东西,以获取我的路由器IP,因为他们似乎能够识别我,尽管我在TOR。我指的不是一个隐藏的网站或一个处理非法内容的网站。我说的是正常的,已知的网站。
浏览 0提问于2013-08-22得票数 1
回答已采纳
1回答
我正在为一个网站做一个密码重置程序。正确的实现建议在数据库中存储随机的盐渍令牌哈希和过期日期。
但是我偶然发现了一个不把令牌存储在数据库中的解决方案:
我正在考虑使用上面的内容,但是将sha1()替换为使用PASSWORD_BCRYPT的password_hash()。
在我看来不错,但我不是安全专家。以上无数据库选项是否安全?如果不是为什么?
浏览 0提问于2013-09-13得票数 0
回答已采纳
我现在是我的公司的新手,我的公司网站是基于1.3.8a创建的,并且有很多zencart核心文件被更改,并添加了许多新的二次开发文件。现在我的老板想要将公司网站更新到zencart 1.5.1,并希望从头开始建设网站,公司网站的新版本应该结构清晰,易于更新。
有什么好的人能给我们一些建议吗?关于这一点,有什么好的建议吗?我的一些想法:
1.如果添加了新的classes文件,应该放在include/classes/jy_class.xxx.php中(jy是我的公司名称);
2.如果新包含/modules/pages/xxx/header_php.php,则应将其放在include/modules/
浏览 2提问于2013-02-05得票数 0
回答已采纳
3回答
因此,我正在处理一个网站关注,我是一个中级程序员,我是在一个网站上购物,我已经听到其他朋友使用。当我注册我的帐户时,他们将我的密码以纯文本形式发回我的电子邮件。我一直认为,在html表单中,如果您对密码进行了散列并将其发送到服务器,则无法以纯文本的形式发送密码。我假设我做的网站帐户是哈希密码,但我没有办法知道。我不是什么安全专家,但我很确定他们不会对密码进行哈希运算,而且可能会将我的数据以纯文本形式存储在他们的服务器上。我的结论正确吗?
浏览 0提问于2018-09-22得票数 0
回答已采纳
最近,我开始了一个新的WordPress博客,没有为用户注册添加任何表单。但是我从我的网站上收到一封电子邮件说新用户已经注册了。不过,我没有写任何帖子,也没有做任何广告。我还在建造它。当我检查网站用户时,如下所示。
现在我的问题是,
1)这是一种什么样的攻击。攻击者是如何在我建网站的时候找到我的网站的?
2)他们已登记为订户,我是否可以安全地删除?
专家提供的任何指导都将受到高度赞赏。请告诉我我该怎么做?谢谢。
浏览 5提问于2017-04-29得票数 0
回答已采纳
我有一个小Wordpress网站托管在我的共享主机服务器。我没有注意到它,因为网站运行良好,直到最近我注意到根文件夹中有一个~40 it的错误日志文件。我无法打开文件,所以我删除了它,并等待文件再次出现。几秒钟后,文件又出现了,其中有一行:
07-2016年11月04:26:22 WordPress数据库错误删除命令拒绝给用户“隐藏_数据库_名称”@‘localhost’表'sv_options‘用于从sv_options中删除查询,其中option_name = '_transient_doing_cron’由delete_transient,delete_option制作
浏览 4提问于2016-11-07得票数 3
回答已采纳
我目前正在尝试理解各种安全协议的实现,比如wpa_supplicant中的EAP。但是从w1.fi读取wpa- reading devel.pdf的方法非常复杂。
我想从wpa_supplicant专家那里了解如何以有效的方式开始深入研究它。为了更好地理解它,高级c概念应该知道什么。
任何资源/材料/网站/书籍都可以推荐。
请不要忽略这个描述性的问题,因为你很清楚在wpa_supplicant中很难开始。
提前谢谢。
浏览 4提问于2016-06-29得票数 0
7回答
我不能理解的一件事是web服务的安全性。
例如,我们正在编写一个桌面应用程序,它将与我们网站上的数据以及本地数据进行交互。然而,这些数据是敏感的,我们最不想要的就是任何人调用web服务。
我还没有找到任何关于web服务有某种身份验证方法的说法,我看到人们谈论的唯一的安全性就是使用证书来加密消息。
我不是这方面的专家,我很感谢任何人的意见,或者是一个链接,可以用简单的术语解释这一点。
谢谢,雅克
浏览 0提问于2010-07-29得票数 5
到目前为止,我构建了一个流量较低的web应用程序,在做了一些广告之后,我意识到对我的服务器有一些可疑的请求,这就是Loggly服务在面板中展示给我的:
我不是一个安全信息购买专家,我怀疑有人想要攻击我的网站或准备未来的攻击。
这些日志到底是什么意思?
我该为这种行为操心吗?
他们在使用一些利用扫描仪的软件吗?
我正在设置一个web应用程序防火墙,以添加一些规则到DNS和更改所有管理密码,但我必须记住的其他建议?
浏览 8提问于2017-07-17得票数 0
3回答
我有一个简单的WinForms应用程序,只有一个窗口,里面有一个WebBrowser控件。在vista上,这无法显示日期,但可以正常工作XP?该网站运行activeX来显示日期。
namespace WindowsFormsBrowserTest
{
public partial class Form1 : Form
{
public Form1()
{
InitializeComponent();
this.webBrowser1.Navigate("http://www.pcpitsto
浏览 0提问于2009-06-26得票数 0
回答已采纳
我有一个已经在.NET 3.5目标ASP.NET应用程序上运行了多年的应用程序。
昨天晚上,它的网络服务器(Windows2008,IIS7)遭遇了一系列过期的更新,现在这款应用程序无法运行。
应用程序在尝试连接到Access数据库时失败(通过标准的内置库;这里没有第三方参与),错误消息是:
无法加载文件或程序集的System.EnterpriseServices.Wrapper.dll
我在谷歌上搜索了很多,得到的建议总是一样的:修复/重新安装.NET框架。
我已经这样做了;我完全卸载并重新安装了Framework3.5和4.5。没有帮助。将两个EnterpriseServices DLL复
浏览 2提问于2014-11-13得票数 0
1回答
我正在使用HTML5 + Phonegap开发移动应用程序。目前正在使用XMLRPC的移动应用程序及其良好的工作状态。(安卓和iOS)
我需要使用与website in browsers相同的应用程序。(使用HTML5)。但是,当我试图在网站上运行我的应用程序时,我得到了以下错误:
XMLHttpRequest cannot load 'Client' URL'. No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http:/
浏览 4提问于2014-06-03得票数 2
回答已采纳
1回答
应用-服务器连接安全性
、、、
我有一个学校项目,其中包括一个应用程序和一个使用相同数据库的网站。该应用程序作为网站的管理工具。由于它是用C#制作的,而且不像PHP那样安全,所以我决定让这个应用程序通过网站与数据库进行交互:
在网站上,有一个php文件,用于在应用程序和数据库之间建立链接。这是我为使它尽可能安全而设置的算法:
用户在应用程序中输入密码,将其作为参数(/get.php?pwd=1234)发送到php文件中。
该网站向应用程序发送一个令牌(称为T0)。
下一次当应用程序想要向网站发送查询时,它会发送md5 of T0 (称为T1),它旁边的网站计算出md5 of T0并比较它的T1。
下一个查询必须使用md5 o
浏览 0提问于2014-12-08得票数 0
回答已采纳
5回答
PCI法规和Ajax
、、、
我有这个想法,但我不确定它是否符合PCI。我是PCI遵从性领域的新手,我很想知道这个场景是否违反了PCI。
那么,让我们设定一下场景。公司A是符合PCI的,并且在https上有一个web服务,它公开了一些关于支付处理的功能。B公司不符合规定,但他们的网站是安全的。
下面是场景的步骤。
B的网站通过服务器端代码联系A的via服务。此服务发送一个加密的自动令牌。
B将此令牌注入包含用于接受信用卡信息的表单的页中。
用户在B的网站上输入信用卡信息。
表单信息以及令牌通过对A的webservice的ajax调用发送。
A的webservice处理数据并回吐状态(已批准/拒绝/等)
浏览 4提问于2010-11-18得票数 9
回答已采纳
1回答
我正在构建一个web,我很难在加密会话令牌和存储的随机会话令牌之间进行选择,以便进行用户身份验证。
我看到了每个人的优点和缺点:
存储随机会话令牌(在db中存储过期对{ token :userId} ):
非常随机,碰撞风险可忽略不计;在数据库插入过程中还可以进行额外的唯一检查。
存储在数据库中,这会导致扩展成本,从而降低维护成本。
令牌可以被撤销。
只要使用正确的随机函数,就不会有密码分析的风险。
加密会话令牌(使用“userId,expiryTime”与存储在后端的公用对称密钥的强加密组合)
每个会话都是随机的,这要归功于终止时间&一次
不需要存储它们(不需要额外的网络调用)-
浏览 0提问于2015-09-20得票数 2
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
