Preguntas etiquetadas con security

Cerrada . Esta pregunta necesita estar más centrada . Actualmente no está aceptando respuestas. ¿Quieres mejorar esta pregunta? Actualice la pregunta para que se centre en un problema solo editando esta publicación . Cerrado hace 3 años . Autenticación basada en formularios para sitios web Creemos que Stack Overflow no …

5373 security  http  authentication  language-agnostic  article 

¿Por qué Google antepone while(1);sus respuestas JSON (privadas)? Por ejemplo, aquí hay una respuesta al activar y desactivar un calendario en Google Calendar : while (1); [ ['u', [ ['smsSentFlag', 'false'], ['hideInvitations', 'false'], ['remindOnRespondedEventsOnly', 'true'], ['hideInvitations_remindOnRespondedEventsOnly', 'false_true'], ['Calendar ID stripped for privacy', 'false'], ['smsVerifiedFlag', 'true'] ]] ] Supongo que esto …

4078 javascript  json  ajax  security 

En Swing, el campo de contraseña tiene un método getPassword()(devoluciones char[]) en lugar del método habitual getText()(devoluciones String). Del mismo modo, he encontrado una sugerencia de no usar Stringpara manejar contraseñas. ¿Por qué Stringrepresenta una amenaza para la seguridad cuando se trata de contraseñas? Se siente incómodo de usar char[].

3422 java  string  security  passwords  char 

Las respuestas de esta pregunta son un esfuerzo comunitario . Edite las respuestas existentes para mejorar esta publicación. Actualmente no acepta nuevas respuestas o interacciones. На этот вопрос есть ответы en Stack Overflow на русском : Каким образом избежать SQL-инъекций en PHP? Si la entrada del usuario se inserta sin …

2773 php  mysql  sql  security  sql-injection 

Bloqueado . Esta pregunta y sus respuestas están bloqueadas porque la pregunta está fuera de tema pero tiene un significado histórico. Actualmente no acepta nuevas respuestas o interacciones. A medida que continúo construyendo más y más sitios web y aplicaciones web, a menudo se me pide que almacene las contraseñas …

1344 security  password-encryption  password-storage 

Actualmente se dice que MD5 es parcialmente inseguro. Teniendo esto en cuenta, me gustaría saber qué mecanismo utilizar para la protección con contraseña. Esta pregunta, ¿es "doble hashing" una contraseña menos segura que simplemente hacerlo una vez? sugiere que el hashing varias veces puede ser una buena idea, mientras que …

1174 php  security  passwords  hash  protection 

¿Existe una función de captura en algún lugar que funcione bien para desinfectar la entrada del usuario para la inyección SQL y los ataques XSS, al tiempo que permite ciertos tipos de etiquetas HTML?

1124 php  security  xss  sql-injection  user-input 

Solo mirando: (Fuente: https://xkcd.com/327/ ) ¿Qué hace este SQL? Robert'); DROP TABLE STUDENTS; -- Sé ambos 'y --son para comentarios, pero ¿la palabra no DROPse comenta también ya que es parte de la misma línea?

1094 security  validation  sql-injection 

Cerrada . Esta pregunta está basada en la opinión . Actualmente no está aceptando respuestas. ¿Quieres mejorar esta pregunta? Actualice la pregunta para que pueda ser respondida con hechos y citas editando esta publicación . Cerrado hace 2 años . Al diseñar una API o servicio REST, ¿existen mejores prácticas …

828 wcf  security  rest  authorization  rest-security 

Estoy desarrollando una aplicación de procesamiento de pagos para Android y quiero evitar que un hacker acceda a los recursos, activos o código fuente desde el archivo APK . Si alguien cambia la extensión .apk a .zip, puede descomprimirla y acceder fácilmente a todos los recursos y activos de la …

764 android  security  proguard  reverse-engineering 

Digamos que tengo un código como este: $dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM users where username = :username'); $stmt->execute( array(':username' => $_REQUEST['username']) ); La documentación de PDO dice: No es necesario citar los parámetros para las declaraciones preparadas; el conductor lo maneja por usted. ¿Es eso realmente …

660 php  security  pdo  sql-injection 

La sección 4.2 del borrador del protocolo OAuth 2.0 indica que un servidor de autorización puede devolver tanto un access_token(que se utiliza para autenticarse con un recurso) como un refresh_token, que se utiliza únicamente para crear un nuevo access_token: https://tools.ietf.org/html/rfc6749#section-4.2 ¿Por qué tener ambos? ¿Por qué no simplemente hacer el …

654 security  oauth  access-token  refresh-token 

¿Existe una posibilidad de inyección de SQL incluso cuando se utiliza la mysql_real_escape_string()función? Considere esta situación de muestra. SQL se construye en PHP así: $login = mysql_real_escape_string(GetFromPost('login')); $password = mysql_real_escape_string(GetFromPost('password')); $sql = "SELECT * FROM table WHERE login='$login' AND password='$password'"; He escuchado a muchas personas decirme que un código como …

644 php  mysql  sql  security  sql-injection 

¿Cuál es la diferencia en el contexto de las aplicaciones web? Veo mucho la abreviatura "auth". Qué representa auth -entication o autenticación -orization? ¿O son ambos?

626 security  authorization  authentication 

El artículo de Coda Hale "Cómo almacenar una contraseña de forma segura" afirma que: bcrypt tiene sales incorporadas para prevenir ataques de mesa arcoiris. Cita este documento , que dice que en la implementación de OpenBSD de bcrypt: OpenBSD genera la sal bcrypt de 128 bits a partir de una …

617 security  hash  internals  bcrypt