如何处理checkmarx扫描的SQL_Injection和Second_Order_SQL_Injection漏洞?
作者:Steven Zhou 提问时间:10/10/2022
SQL_Injection和Second_Order_SQL_Injection漏洞出现在使用spring data jpa框架的项目源代码中,使用checkmarx扫描 我该如何处理它们?你有什么...
security 问答列表
Stripe 数据安全
作者:john bowlee 提问时间:9/16/2022
我目前正在我的项目中实现 Stripe,我对发送到前端的数据有很大的疑问。 例如,如果我将payment_method_id发送到正面,或者如果我暴露subscription_id或invoice_i...
如何使用Spring Boot和Spring Security保护REST API?
作者:jnemecz 提问时间:9/13/2015
我知道保护 REST API 是被广泛评论的话题,但我无法创建一个符合我的标准的小型原型(我需要确认这些标准是现实的)。有很多选项可以保护资源以及如何使用 Spring 安全性,我需要澄清我的需求是否...
传输层安全性 Elasticsearch 配置
作者:sabri mahmoud 提问时间:11/7/2021
注意:我的 Elasticsearch 版本是 7.15.0 我是 Elasticsearch 的新手,我正在尝试使用 Kibana 警报,为此我必须创建一个规则和一个连接器,但是当我选择该字段时,...
如何使用 Spring Security 从 Spring Boot 中使用 Interceptor 在 Postman 中捕获 csrf / xsrf 令牌/cookie?
作者:Ola Lindgard 提问时间:1/19/2023
` 首先,我对这个问题的格式感到抱歉。我尝试格式化代码,但我只收到错误消息。 我已经尝试了很长一段时间,搜索 StackOverflow 和整个 webb。我正在关注有关Spring Securit...
本地到云漏洞扫描
作者:Rich750 提问时间:11/20/2021
我们在共享子网中拥有漏洞扫描软件,即我们的本地网络。我们现在正在添加托管在公有云上的虚拟机,并且需要对它们执行漏洞扫描。一种选择是打开从本地到公有云的单向流量,以便扫描程序可以访问所有虚拟机。因此,所...
如何避免对APK文件进行逆向工程
作者:sachin003 提问时间:12/13/2012
我正在开发一款适用于 Android 的支付处理应用程序,我想防止黑客访问 APK 文件中的任何资源、资产或源代码。 如果有人将 .apk 扩展名更改为 .zip,那么他们可以解压缩它并轻松访问应用...
为什么要在 API 的 HTTP 响应中包含 CSP 标头?
作者:Renan 提问时间:8/23/2021
OWASP 建议在 API 响应中使用,以避免拖放式点击劫持攻击。Content-Security-Policy: frame-ancestors 'none' 但是,CSP 规范似乎表明,加载 H...
Symfony JWT - 使用 symfony lexik JWT 身份验证包更改登录方式
作者:beta-developper 提问时间:8/3/2021
在 Symfony Lexik JWT 身份验证捆绑包中,解释了如何使用数据库中的表对用户进行身份验证。 就我而言,我的用户不在数据库中,而是在另一个应用程序中,我可以通过 API 调用访问该应用程...
验证混淆令牌
作者: 提问时间:6/21/2020
我正在构建一种安全的算法来摆脱混淆攻击。使用令牌验证用户,该令牌应满足以下条件: 用户名仅为小写字母,用户名长度至少为 5 位。 username 后跟 #。 # 之后的前两个字符很重要。始终是一个...