信息安全

信息安全專業人員的問答


0
媒體服務器的零服務器知識加密
我正在製作一台小型媒體服務器,只是為了好玩,但是我想知道我在想什麼。這個想法是文件將被加密存儲在服務器上。文件加密密鑰(以下稱為FEK)也將存儲在服務器上,但也將使用從用戶密碼(以下稱為PDK)派生的第二個密...
 

2
帶有RSA密鑰交換的TLS密碼套件中的RSA密鑰大小
我正在使用TLS密碼套件TLS_RSA_WITH_AES_256_CBC_SHA56。服務器證書的公鑰是RSA(2048位)我知道RSA算法在這裡用於密鑰交換和身份驗證。證書包含RSA 2048位公共密鑰的事實是否意味著用於密鑰交換和身份驗證的RSA密鑰的長度為2048位?...
   

0
嵌入式系統構建的密鑰管理
我們的醫療設備具有嵌入式處理器和用於固件更新和日誌文件傳輸的USB端口。普通的USB病毒不是問題(沒有加載或執行它們的機制,就不會在我們獨特的環境中運行)。但是,如果有人抄襲了源代碼,構建環境和原理圖,則監管...
 

0
服務器的無狀態防火牆配置和隨機端口號
當我閱讀有關Web服務器的信息時,我知道儘管服務器偵聽靜態端口(例如http的端口80),但在連接後,它們會分配一個不同的端口和線程來處理。這有助於擴展性;否則,服務器將無法偵聽靜態端口,直到完成上一個請求的處理...
  

1
安全啟動將覆蓋多少系統?
背景:我們正在為x86上的Debian 9.8系統開發程序,但是我們大多數人更習慣於處理嵌入式設備。根據wikipedia,安全啟動可以 通過防止未使用可接受的數字簽名進行簽名的驅動程序或OS加載程序的加載來確保啟動過程的安全 。我的...
 

2
Android鑰匙串:什麼是系統範圍的憑證?
有關密鑰庫系統的Android文檔有一個子部分Choose between a keychain or the Android keystore provider,它說當我們需要係統範圍的憑據時,應該使用KeyChain API。什麼是系統範圍的憑據??什麼時候應該使用它?你能舉個例子解釋一下嗎?...
 

1
本地文件包含到RCE
代碼如下:<?php $file=trim($_GET['img_name']); //echo $file; if (file_exists($file)) { header('Content-Description: File Transfer'); header('Content-Type: application/octet-stream'); header('Content-Disposition: attachment; filename='.basename($file)); header('Content-Transfer-Encod...
  

7
將敏感數據存儲在文件而不是數據庫中是否安全?
說我有一個假設的PHP應用程序,它將哈希密碼存儲在同一目錄中的文件中。起初,這似乎是非常不安全的,因為人們可以猜測文件的名稱並通過Web瀏覽器(http://example.com/php-app/hashed_passwords.txt)打開它。但是,我想知道使用幾種...
  

1
利用Android應用程序上存儲的XSS?
我正在測試容易受到HTML注入攻擊的Android應用程序,但是在將其升級到存儲的XSS漏洞時遇到了問題。我已經嘗試過這些,還有更多:<script>alert(1)</script> <iframe src= javascript:confirm(1) > <a href= javascript:alert(1) >foo | link...
   

2
信任設備是否會抵消2FA提供的安全優勢?
我已閱讀2FA,在登錄帳戶時增加了有益的安全性。但是,許多組織經常問我是否要永久信任我正在使用的設備,因此登錄時不必在手機上收到文本。有效信任設備是否意味著我沒有使用2FA?或者,如果我信任我的設備,2fa所提供...
 

1
.NET應用程序中的秘密存儲在哪裡?
我有一些秘密需要從我的.NET應用程序轉移到另一個。我正在使用CNG DPAPI對這些機密進行加密,並且希望找到最合適的位置(以這種加密格式)將其存儲在我的計算機上(可以從中收集這些機密,並在需要時將其發送到其他應用...
  

1
此沙箱是否可以從我的Web IDE中正確顯示我用戶的JavaScript?
我正在開發一個IDE,該IDE應該在瀏覽器中運行用戶的JavaScript。我不想只是eval任意代碼,尤其是因為代碼可能在用戶之間共享。從here等來源,我了解到iframe可能是實現此目的的工具。另一方面,還建議使用Caja之類的東西,但我...
   

0
metasploit openvas插件未連接到OpenVAS9-Manager
我最近在this guide之後安裝了openvas9。我可以在端口4000上很好地登錄Web界面,然後在可配置metas的VM上進行掃描以進行測試,這看起來不錯。現在,我想將結果導入metasploit。問題是metasploit的openvas插件所連接的服務openvas-manager確實...
    

1
如何防止在WordPress的跨站點腳本?
我為Wordpress項目提供了帶有第三方服務的源分析器。結果發現,存在大量的跨站點腳本漏洞。示例之一如下圖所示。如何防止跨站點腳本編寫?我應該將驗證放在前端視圖(HTML / CSS / JS)還是在後端視圖(PHP / Wordpress)? ...
 

2
安裝Windows 10的Ubutnu是否有安全隱患?
我只希望Windows 10中的bash外殼運行速度更快,並且沒有git bash / MINGW64的任何怪癖,例如所有CRLF垃圾。安裝該軟件是否存在安全危害?我的意思是,我確定這取決於您使用apt-get進行安裝的內容,但是如果您僅安裝Ubuntu for Windows 10...
 

3
當SPF和DKIM通過時,為什麼DMARC失敗?
我以前已經看到過這個問題,但是不幸的是,我不理解答案。我認為這與 from 頭由不同標准定義的方式有關。我已將 從 中的所有域添加到SPF記錄中,但是DMARC仍然失敗。我很好奇是否有人可以幫助我具體確定為什麼此電子郵件...
    


2
密碼術中" over"的使用(如"密鑰上的哈希")
這是最終的菜鳥問題。在閱讀有關密碼學的討論時,我經常遇到這樣的短語: ...calculates a hash over the primary key... ...a key derivation function over a static string... ...an HMAC over the i-th derived key... 在這些示例中, 結束 只是說 of 的時髦方...
 

4
未映射的頁面如何填充堆棧金絲雀?
我正在閱讀有關此主題的wikipedia article,它指出程序啟動時,canary是隨機計算的,並存儲在本地變量中(我認為是編譯器引入的),並用未映射的填充頁,但我在理解其實際含義時遇到了問題。是否將此全局變量映射到與程序不...
  

Next page