Articles of security

O comportamento por trás da vulnerabilidade do Shellshock no Bash é documentado ou intencional?

Uma vulnerabilidade recente, CVE-2014-6271 , em como o Bash interpreta variables ​​de ambiente foi divulgada . O exploit depende do Bash analisar algumas declarações de variables ​​de ambiente como definições de funções, mas continuar executando o código seguindo a definição: $ x='() { echo i do nothing; }; echo vulnerable’ bash -c ‘:’ vulnerable Mas […]

X-Frame-Options Allow-From vários domínios

Eu tenho um site asp.net 4.0 IIS7.5 que eu preciso seguro usando a opção de headers x-frame Eu também preciso permitir que minhas páginas do site sejam iframed do meu mesmo domínio, bem como do meu aplicativo do Facebook. Atualmente tenho meu site configurado com um site intitulado: Response.Headers.Add(“X-Frame-Options”, “ALLOW-FROM SAMEDOMAIN, www.facebook.com/MyFBSite”) Quando eu visualizo […]

No .NET 4.0, como faço para “proteger” um assembly na memory e executar um método?

Aqui está a razão pela qual esta pergunta foi feita: www.devplusplus.com/Tests/CSharp/Hello_World . Embora perguntas semelhantes tenham sido feitas antes, as muitas respostas on-line têm vários problemas: Isso deve ser feito no estilo “.Net 4.0”, não no modo herdado. A assembly está na memory e só estará na memory, não pode ser gravada no sistema de […]

Por que os serviços da Web ASP.NET JSON retornam o resultado em ‘d’?

Eu escrevi alguns serviços da Web ASP.NET que usam codificação JSON, a la: [WebInvoke()] [OperationContract] public int SetInformation(int recordid, string data) { return 42; } e o JSON retornado é: {“d”: 42} Por que o parâmetro é chamado d ? Posso controlar isso? Diga, para e ? Para referência, algumas perguntas semelhantes que finalmente consegui […]

Restringir uma conexão do SQL Server a um endereço IP específico

Desejo restringir as conexões à minha instância do SQL Server para endereços IP específicos. Eu quero evitar quaisquer conexões de qualquer endereço IP, exceto uma lista específica. Isso é algo que pode ser configurado na instância ou no database do SQL Server?

Distribuição segura de aplicativos NodeJS

O que: Os aplicativos NodeJS podem ser distribuídos como binários? ie. você compila o aplicativo .js via V8 em seu binário nativo e distribui o binário para os clientes? (se você tivesse access total ao servidor NodeJS) … ou está diminuindo o código, tudo o que você pode fazer? Por que: Nós criamos aplicativos do […]

Não é permitido que ações filhas executem ações de redirecionamento, depois de definir o site em HTTPS

Estou recebendo o erro abaixo: Child actions are not allowed to perform redirect actions. Description: An unhandled exception occurred during the execution of the current web request. Please review the stack trace for more information about the error and where it originated in the code. Exception Details: System.InvalidOperationException: Child actions are not allowed to perform […]

Segurança de HTML5 localStorage

Seria uma boa ou má idéia usar o localStorage para dados sensíveis (assumindo as implementações atuais do HTML5)? Quais methods posso usar para proteger os dados para que não possam ser lidos por uma pessoa que tenha access no computador cliente?

Restringir o access a um controlador específico por endereço IP no ASP.NET MVC Beta

Eu tenho um projeto ASP.NET MVC contendo uma class AdminController e me dando URls como estes: http://example.com/admin/AddCustomer http://examle.com/Admin/ListCustomers Desejo configurar o servidor / aplicativo para que os URIs que contêm / Admin sejam acessados ​​somente pela rede 192.168.0.0/24 (ou seja, nossa LAN) Eu gostaria de restringir este controlador para ser acessível apenas a partir de […]

As consultas dinâmicas do mysql com sql estão sendo tão seguras quanto as instruções preparadas?

Eu tenho um aplicativo que beneficiaria muito usando consultas mysql dinâmicas em combinação com mysql (mysqli) real escape string. Se eu rodasse todos os dados recebidos do usuário através do escape real do mysql, seria tão seguro quanto usar as instruções preparadas do mysql?