保护使用 Twitter 登录的应用程序 API 的安全
我正在开发一个使用“使用 Twitter 登录”功能作为登录机制的应用程序。作为此应用程序的一部分,我还想开发一个 API 供用户交互。 那么我的问题是,…
与 Apache Shiro 和自定义授权领域混淆
我正在尝试为 Apache Shiro 创建一个简单的授权领域进行测试: public class MyAuthRealm extends AuthorizingRealm { @Override protected Authoriza…
为什么盐在使用字典攻击时没有帮助
从这个网站 http://codahale.com/how-to-safely-store -a-密码/: 需要注意的是,盐对于防止字典攻击或暴力攻击是没有用的。 如果盐对于防止字典攻击…
我是否需要使用 oAuth 来保护 REST 请求正文的安全?
我正在构建 REST API 并使用 oAuth 进行授权。我的问题是,如果 PUT 和 POST 请求包含数据,我是否需要对请求正文执行任何操作?如果这有什么区别的话…
创建 Paypal 捐赠按钮,无需访问 PayPal 帐户
我正在建立一个非盈利网站。我让慈善机构的财务主管为慈善机构创建了一个 PayPal 帐户,他们有 PayPal 登录信息。 我试图遵循最佳安全实践,因此,作…
未通过密钥库获取相同的密钥值
我使用密钥库将私钥存储在文件中, ks.setKeyEntry("kk1", pr, pass, cert1); //ks is obj of keystore, //kk1 is alias, //pr-->is private key, //p…
CentOS 5.6:.htaccess 上传后的 Apache 访问权限
我正在远程处理我的家庭服务器,并且想要对我的 .htaccess 进行一些更改。我无法使用我的 FTP(filezilla) 查看此文件,并认为那里没有。我决定将计算…
保存身份验证令牌的最佳方法?
我一直致力于用 C# 实现 api。实施进展顺利,但我确实遇到了一个问题。 当我的图书馆对 api 进行授权时,我有一个 auth_token,我用它来对 Web 服务进…
如何在java中提取X509Certificate的有效性?
我可以使用 checkValidility() 方法检查 X509Certificate 证书的有效性,但我的项目要求还从 X509Certificate 日期中提取日期和日期的有效性并存储在…
控制器和操作的集中授权 (ASP.NET MVC 3)
在自定义 AuthorizeAttibute(全局注册)中,根据所调用的控制器类型和操作应用授权是否存在任何可能的安全问题或陷阱? 例如(不是真正的代码) stri…
图像上传 - 调整大小以避免内容走私攻击
阅读这篇文章后,我选择将图像大小调整 1px 以阻止内容走私攻击: 图像上传- 安全问题 但由于某种原因,透明的 gif 会带有黑色背景。这是代码: Bitma…
Rails:如何快速保护整个站点以在 Heroku 上进行开发测试?
我正在开发一个将从 Heroku 运行的网站,我即将将原型推送到 Heroku 进行测试,并确保我拥有让它运行的所有正确设置那里。我想要一种快速而肮脏的方法…
Windows 上的 Ring 0 如何受到保护?或者,为什么我关心媒体播放器是否被利用?
我更熟悉 *nix 环境,但我正在尝试从 Windows 角度了解安全性。我在 Windows 安全领域看到了很多漏洞利用和补丁,它们似乎针对的是外围程序,例如媒体…
