Articles of security

Hashing password Asp.net Identity

Il nuovo progetto ASP.net Identity ha portato un po ‘di codice e interfacce utili per la sicurezza del sito. Per implementare un sistema personalizzato utilizzando le interfacce (anziché utilizzare l’implementazione standard di Entity Framework inclusa nel modello MVC 5) è necessario un IPasswordHasher . Interfaccia IPasswordHasher in ASP.net Identity namespace Microsoft.AspNet.Identity { public interface IPasswordHasher […]

Spring Security: Multiple HTTP Config non funziona

Sto cercando di utilizzare Spring Security e ho un caso d’uso in cui voglio che vengano salvate diverse pagine di accesso e diversi set di URL. Ecco la mia configurazione: @Configuration @Order(1) public static class ProviderSecurity extends WebSecurityConfigurerAdapter{ @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers(“/”, “/home”).permitAll() .antMatchers(“/admin/login”).permitAll() .antMatchers(“/admin/**”).access(“hasRole(‘BASE_USER’)”) .and() .formLogin() .loginPage(“/admin/login”).permitAll() […]

Lo storage locale può essere considerato sicuro?

Sono tenuto a sviluppare un’applicazione web che funzionerà offline per lunghi periodi. Affinché ciò sia fattibile, non posso evitare di salvare dati sensibili (dati personali ma non il tipo di dati da archiviare solo con hash) nella memoria locale. Accetto che questa procedura non sia raccomandata, ma data poca scelta sto facendo quanto segue per […]

JSON Hijacking è ancora un problema nei browser moderni?

Sto usando Backbone.js e il web server Tornado. Il comportamento standard per la ricezione dei dati di raccolta in Backbone è quello di inviare come array JSON. D’altra parte, il comportamento standard di Tornado è quello di non consentire la matrice JSON a causa della seguente vulnerabilità: http://haacked.com/archive/2008/11/20/anatomy-of-a-subtle-json-vulnerability.aspx Uno correlato è: http://haacked.com/archive/2009/06/25/json-hijacking.aspx Mi sembra più […]

Perché la gente inserisce il codice come “lancia 1; “e” per (;;); “di fronte alle risposte json?

Possibile duplicato: Perché Google si antepone mentre (1); alle loro risposte JSON? Google restituisce JSON in questo modo: throw 1; { foo: bar} e Facebook ajax ha JSON come questo: for(;;); {“error”:0,”errorSummary”: “”} Perché mettono un codice che fermerebbe l’esecuzione e rende json non valido? Come lo analizzano se non è valido e si bloccherebbe […]

Cosa sono gli “array JSON di primo livello” e perché rappresentano un rischio per la sicurezza?

Nel video in basso, al momento del marker 21:40, il presentatore di Microsoft PDC dice che è importante che tutto il JSON sia incapsulato quindi non è un array di primo livello: https://channel9.msdn.com/Events/PDC/PDC09/FT12 Qual è il rischio di un array di livello superiore non confezionato? Come dovrei controllare e vedere se sono vulnerabile? Acquisto molti […]

ReCaptcha è stato incrinato / hackerato / OCR / sconfitto / rotto?

Sono stati usati metodi di programmazione per sconfiggere reCAPTCHA? Sono interessato a vedere prove e potenzialmente dimostrazioni che reCAPTCHA in particolare è stato reso obsoleto da metodi completamente automatizzati e privi di risorse umane. Per chiarire, non cercare le soluzioni di truffa reCAPTCHA che coinvolgono gli esseri umani in alcun modo, se le squadre hanno […]

Quali sono i rischi per la sicurezza di impostare Access-Control-Allow-Origin?

Di recente ho dovuto impostare Access-Control-Allow-Origin su * per poter effettuare chiamate ajax su più sottodomini. Ora non posso fare a meno di sentire che sto mettendo il mio ambiente ai rischi per la sicurezza. Per favore aiutami se sto sbagliando.

Richieste AJAX cross-site

Devo effettuare una richiesta AJAX da un sito Web a un servizio Web REST ospitato in un altro dominio. Sebbene funzioni correttamente con Internet Explorer, altri browser come Mozilla e Google Chrome impongono restrizioni di sicurezza molto più rigide, che vietano le richieste AJAX tra i siti. Il problema è che non ho alcun controllo […]

Qual è la cartella App_Data utilizzata in Visual Studio?

Quando si crea una nuova applicazione ASP.NET in Visual Studio, vengono creati automaticamente un paio di file e cartelle. Una di queste cartelle è chiamata App_Data . Inoltre, quando si pubblica un sito Web selezionando l’opzione di menu Build->Publish una casella di controllo è disponibile Include files from the App_Data folder . Ho ragione, supponendo […]