Preguntas etiquetadas 'seguridad'

Temas relacionados con la seguridad de aplicaciones y ataques de software. Por favor, no use esta etiqueta, lo que conduce a la ambigüedad. Si tiene una pregunta que no sea sobre un problema de programación específico, piense sin preguntar en Security Security SE: https://security.stackexchange.com
12
respuestas

Guía de autenticación final basada en formulario

Autenticación basada en formularios para sitios web Creemos que delphi-faq.net no solo debe ser un recurso para problemas técnicos muy específicos, sino también para recomendaciones generales para eliminar variaciones en problemas comunes. "Autenticación basada en formularios ...
set 02 ago. '08 a las 10:51 pm
6
respuestas

¿Por qué Google agrega while (1); en sus respuestas json?

¿Por qué Google agrega while (1); en sus respuestas (privadas) JSON? Por ejemplo, aquí está la respuesta cuando enciende o apaga el calendario en el calendario de Google: while (1); [['u', [['smsSentFlag', 'false'], ['hideInvitations', 'false'], ['remindOnRespondedEventsOnly', no ...
establecido el 19 de abril '10 a las 9pm
18
respuestas

¿Por qué se prefiere char [] a String para contraseñas?

En Swing, el campo de contraseña tiene un método getPassword () (devuelve char []) en lugar del método usual getText () (devuelve una cadena). Del mismo modo, me enfrenté a la propuesta de no utilizar una cadena para el manejo de contraseñas. Por qué String crea un riesgo de seguridad ...
fijado el 16 de enero '12 a las 17:20
28
respuestas

¿Cómo puedo prevenir la inyección de SQL en PHP?

Si la entrada del usuario se inserta sin cambiar la consulta SQL, la aplicación se vuelve vulnerable a la inyección de SQL, como en el siguiente ejemplo: $ unsafe_variable = $ _POST ['user_input']; mysql_query ("INSERT INTO` table` (` column`) VALUES ('$ unsafe_variabl ...
set 13 de septiembre '08 a las 2:55
26
respuestas

¿Cómo debo adherirme al enfoque ético del almacén de contraseñas de usuarios para realizar búsquedas posteriores en texto sin cifrar?

A medida que continúo creando más y más sitios web y aplicaciones web, a menudo me piden que guarde las contraseñas de los usuarios para que puedan obtenerse si / cuando el usuario tenga un problema (o envíe un correo electrónico a ...
set 17 de febrero '10 a las 10:54 pm
14
respuestas

Hash y sal seguros para contraseñas de php

Actualmente se dice que el MD5 es parcialmente inseguro. Teniendo esto en cuenta, me gustaría saber qué mecanismo utilizar para la protección de contraseña. Esta pregunta, ¿es el "hash doble" una contraseña menos segura que solo su ...
set 31 dic '09 a la 1:02
12
respuestas

¿Cómo funciona la inyección SQL del cómic XBCD Bobby Tables?

Solo mire: (Fuente: https://xkcd.com/327/) Lo que hace este SQL: Robert '); DROP TABLE ESTUDIANTES; - Sé que hay 'y - para comentarios, pero ¿está comentada la palabra DROP, ya que es parte de la misma línea?
set 02 dic '08 a las 0:50
18
respuestas

¿Cuál es el mejor método para desinfectar la entrada del usuario usando PHP?

¿Existe alguna función general que funcione bien para desinfectar las entradas del usuario para inyecciones de SQL y ataques XSS, pero permite ciertos tipos de etiquetas html?
puesta el 24 sep. '08 a las 11:20 pm
18
respuestas

API REST / Consejos de seguridad de servicios web

Al desarrollar un servicio de API o REST, ¿existen pautas de seguridad establecidas (autenticación, autorización, gestión de identidad)? Al crear la API SOAP, tiene WS-Security como guía y hay muchas letras ...
establecido el 11 de agosto '08 a las 8:44
32
respuestas

¿Cómo evitar la ingeniería inversa de un archivo apk?

Estoy desarrollando una aplicación de procesamiento de pagos para Android, y quiero que el pirata informático no acceda a ningún recurso, activo o código fuente desde un archivo APK. Si alguien cambia la extensión .apk a .zip, puede descomprimirlo y obtenerlo fácilmente ...
ambientada el 13 de diciembre. '12 a las 9:42
7
respuestas

¿Son las declaraciones PDO preparadas suficientes para evitar la inyección de SQL?

Digamos que tengo este código: $ dbh = nuevo DOP ("blahblah"); $ stmt = $ dbh-> prepare ('SELECT * FROM usuarios donde username =: username'); $ stmt-> execute (array (': username' => $ _REQUEST ['username'])); La documentación de la DOP establece: Parámetros para ...
set 25 sep. '08 a las 6:43 pm
6
respuestas

Inyección SQL, que se distribuye alrededor de mysql_real_escape_string ()

¿Es posible inyectar SQL incluso cuando se utiliza la función mysql_real_escape_string ()? Considere esta situación de muestra. SQL se construye en PHP de esta manera: $ login = mysql_real_escape_string (GetFromPost ('login')); $ contraseña = mysql_real_es ...
fijado el 21 de abril '11 a las 10:56
14
respuestas

¿Por qué OAuth v2 tiene acceso y actualiza tokens?

La Sección 4.2 del borrador del protocolo OAuth 2.0 establece que el servidor de autorización puede devolver tanto access_token (que se usa para la autenticación con el recurso) como refresh_token, que se usa exclusivamente para crear un nuevo access_toke ...
set 15 ago. '10 a las 18:25
25
respuestas

¿Por qué es una mala idea usar las funciones de evaluación de javascript?

La función eval es una forma poderosa y fácil de generar código dinámicamente, ¿cuáles son las reservas?
puesta el 17 sep. '08 a las 10:09 pm
4
respuestas

¿Cuál es la mejor manera de implementar "Recuérdame" para un sitio web?

Quiero que mi sitio web tenga una casilla de verificación en la que los usuarios puedan hacer clic para que no tengan que registrarse cada vez que visiten mi sitio. Sé que necesitaré almacenar cookies en mi computadora, ...
fijado el 29 de octubre '08 a las 0:09