Sujets relatifs à la sécurité des applications et aux attaques contre les logiciels. Veuillez ne pas utiliser cette balise seule, ce qui crée une ambiguïté. Si votre question ne concerne pas un problème de programmation spécifique, veuillez plutôt la poser à Information Security SE: https://security.stackexchange.com
Fermé . Cette question doit être plus ciblée . Il n'accepte pas actuellement de réponses. Voulez-vous améliorer cette question? Mettez à jour la question pour qu'elle se concentre sur un seul problème en modifiant ce post . Fermé il y a 3 ans . Authentification basée sur les formulaires pour les...
Pourquoi Google ajoute-t-il while(1);à ses réponses JSON (privées)? Par exemple, voici une réponse lors de l'activation et de la désactivation d'un calendrier dans Google Agenda : while (1); [ ['u', [ ['smsSentFlag', 'false'], ['hideInvitations', 'false'], ['remindOnRespondedEventsOnly', 'true'],...
Dans Swing, le champ de mot de passe a une méthode getPassword()(retours char[]) au lieu de la méthode habituelle getText()(retours String). De même, je suis tombé sur une suggestion de ne pas utiliser Stringpour gérer les mots de passe. Pourquoi Stringconstitue- t-il une menace pour la sécurité en...
Les réponses à cette question sont un effort communautaire . Modifiez les réponses existantes pour améliorer ce post. Il n'accepte pas actuellement de nouvelles réponses ou interactions. На этот вопрос есть ответы на Stack Overflow à partir de : Каким образом избежать SQL-инъекций в PHP? Si...
Quel paramètre dois-je mettre dans mon info.plistpour activer le mode HTTP selon le message d'erreur suivant? La sécurité des transports a bloqué une charge de ressources HTTP (http: //) en texte clair car elle n'est pas sécurisée. Les exceptions temporaires peuvent être configurées via le fichier...
Verrouillé . Cette question et ses réponses sont verrouillées car la question est hors sujet mais a une signification historique. Il n'accepte pas actuellement de nouvelles réponses ou interactions. Alors que je continue de créer de plus en plus de sites Web et d'applications Web, on me demande...
On dit actuellement que MD5 est partiellement dangereux. Compte tenu de cela, je voudrais savoir quel mécanisme utiliser pour la protection par mot de passe. Cette question, le «double hachage» est-il un mot de passe moins sûr qu'un simple hachage une fois? suggère que le hachage plusieurs fois...
Existe-t-il une fonction catchall quelque part qui fonctionne bien pour nettoyer les entrées utilisateur pour l'injection SQL et les attaques XSS, tout en autorisant certains types de balises
En regardant simplement: (Source: https://xkcd.com/327/ ) Que fait ce SQL: Robert'); DROP TABLE STUDENTS; -- Je connais les deux 'et je suis --pour les commentaires, mais le mot n'est-il pas DROPaussi commenté puisqu'il fait partie de la même
Fermé . Cette question est basée sur l'opinion . Il n'accepte pas actuellement de réponses. Voulez-vous améliorer cette question? Mettez à jour la question afin d'y répondre avec des faits et des citations en modifiant ce message . Fermé il y a 2 ans . Lors de la conception d'une API ou d'un...
Je développe une application de traitement des paiements pour Android et je souhaite empêcher un pirate d'accéder à des ressources, des actifs ou du code source à partir du fichier APK . Si quelqu'un modifie l'extension .apk en .zip, il peut la décompresser et accéder facilement à toutes les...
Que signifie l'authentification RESTful et comment fonctionne-t-elle? Je ne trouve pas un bon aperçu sur Google. Ma seule compréhension est que vous passez la clé de session (remeberal) dans l'URL, mais cela pourrait être horriblement
Disons que j'ai un code comme celui-ci: $dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM users where username = :username'); $stmt->execute( array(':username' => $_REQUEST['username']) ); La documentation PDO indique: Les paramètres des instructions préparées n'ont pas...
La section 4.2 du projet de protocole OAuth 2.0 indique qu'un serveur d'autorisation peut renvoyer à la fois un access_token(qui est utilisé pour s'authentifier avec une ressource) ainsi qu'un refresh_token, qui est utilisé uniquement pour créer un nouveau access_token:
Existe-t-il une possibilité d'injection SQL même lors de l'utilisation de la mysql_real_escape_string()fonction? Considérez cet exemple de situation. SQL est construit en PHP comme ceci: $login = mysql_real_escape_string(GetFromPost('login')); $password =
Je veux créer un nouvel utilisateur dans MySQL et lui donner un accès complet à une seule base de données, disons dbTest, que je crée avec une commande comme create database dbTest;. Quelles seraient les commandes MySQL pour faire
Quelle est la différence dans le contexte des applications Web? Je vois souvent l'abréviation "auth". Représente- t-il une authentification- authentification ou une authentification- authentification? Ou est-ce les
L'article de Coda Hale «Comment stocker un mot de passe en toute sécurité» affirme que: bcrypt a des sels intégrés pour empêcher les attaques de table arc-en-ciel. Il cite cet article , qui dit que dans la mise en œuvre d'OpenBSD de bcrypt: OpenBSD génère le sel bcrypt 128 bits à partir d'un flux...
Lors de l'envoi de données via HTTPS, je sais que le contenu est crypté, mais j'entends des réponses mitigées sur le fait que les en-têtes sont cryptés ou la quantité d'en-tête cryptée. Combien d'en-têtes HTTPS sont cryptés? Y compris les URL de demande GET / POST, les cookies,...
Je charge un <iframe>dans ma page HTML et j'essaie d'accéder aux éléments qu'il contient en utilisant Javascript, mais lorsque j'essaie d'exécuter mon code, j'obtiens l'erreur suivante: SecurityError: Blocked a frame with origin "http://www.<domain>.com" from accessing a cross-origin...