Articles of sicurezza

java.security.InvalidAlgorithmParameterException: il parametro trustAnchors deve essere non vuoto su Linux, o perché il truststore predefinito è vuoto

Quando java.security.InvalidAlgorithmParameterException: the trustAnchors parameter must be non-empty google per questa eccezione: java.security.InvalidAlgorithmParameterException: the trustAnchors parameter must be non-empty , vengono visualizzati più risultati. Tuttavia non esiste una soluzione definitiva, solo supposizioni. Il problema sorge (almeno nel mio caso) quando provo ad usare una connessione aperta su SSL. Funziona benissimo sulla mia macchina Windows, ma […]

Se utilizzi HTTPS, i tuoi parametri URL saranno al sicuro dallo sniffing?

Supponiamo che io abbia configurato un semplice server web php con una pagina accessibile da HTTPS. L’URL ha parametri semplici, come https://www.example.com/test?abc=123 . È vero che il parametro qui in questo caso sarà al sicuro dalle persone che annusano i pacchetti? E questo sarebbe vero se il server non impiegasse alcun certificato SSL?

Come convertire SecureString in System.String?

Tutte le riserve sulla mancata protezione di SecureString mediante la creazione di un System.String out di esso, come può essere fatto? Come posso convertire un ordinario System.Security.SecureString in System.String? Sono sicuro che molti di voi che hanno familiarità con SecureString risponderanno che non si dovrebbe mai trasformare un SecureString in una normale stringa .NET perché […]

Perché i sali rendono “impossibili” gli attacchi dei dizionari?

Aggiornamento: Si prega di notare che non sto chiedendo che cos’è un sale, che cos’è un tavolo arcobaleno, che cos’è un attacco di dizionario o qual è lo scopo di un sale. Sto interrogando: se conosci gli utenti salt e hash, non è abbastanza facile calcolare la loro password? Capisco il processo e lo implemento […]

Prevenire gli accessi alla forza bruta sui siti web

In risposta ai recenti dirottamenti di Twitter e al post di Jeff su Dictionary Attacks , qual è il modo migliore per proteggere il tuo sito web dagli attacchi di accesso brute force? Il post di Jeff suggerisce di aumentare il ritardo per ogni tentativo di accesso e un suggerimento nei commenti è di aggiungere […]

L’overflow del buffer funziona in gdb ma non senza

Sono su CentOS 6.4 a 32 bit e sto provando a causare un buffer overflow in un programma. All’interno di GDB funziona. Ecco l’output: [root@localhost bufferoverflow]# gdb stack GNU gdb (GDB) Red Hat Enterprise Linux (7.2-60.el6_4.1) Copyright (C) 2010 Free Software Foundation, Inc. License GPLv3+: GNU GPL version 3 or later This is free software: […]

Vulnerabilità delle applicazioni dovuta a funzioni di hash casuale

Di seguito è tratto da un articolo che spiega la possibilità di attacco Denial of Service (DoS) a causa di funzioni hash non casuali utilizzate in strutture di dati hash. […] la condizione può essere sfruttata sfruttando collisioni prevedibili negli algoritmi di hashing sottostanti. Per verificarlo, ho seguito l’implementazione di riferimento di Java HashMap da […]

Limita l’accesso a un controller specifico tramite l’indirizzo IP in ASP.NET MVC Beta

Ho un progetto MVC ASP.NET che contiene una class AdminController e mi dà URL come questi: http://example.com/admin/AddCustomer http://examle.com/Admin/ListCustomers Voglio configurare il server / app in modo che gli URI contenenti / Admin siano accessibili solo dalla rete 192.168.0.0/24 (cioè la nostra LAN) Mi piacerebbe limitare questo controller per essere accessibile solo da determinati indirizzi IP. […]

Autenticazione JWT per Asp.Net Web Api

Sto cercando di supportare il token bearer di JWT (Json Web Token) nella mia applicazione web API e mi sto perdendo. Vedo supporto per .net core e per OWIN applicazioni OWIN . Attualmente sto ospitando la mia applicazione su IIS . Come posso ottenere questo modulo di autenticazione nella mia applicazione? C’è un modo in […]

come assicurarsi che solo il mio sito Web (codice client) possa parlare al backend Firebase?

Ho letto di Firebase e sembra fantastico per quello che voglio fare. Ho letto sull’autenticazione e sulla base delle regole che alcuni utenti loggati sono autorizzati a fare cose diverse. Al bene. Tuttavia, non sono sicuro di un altro tipo di sicurezza: come posso assicurarmi che solo il mio sito (utilizzando il javascript sul lato […]