27
4
Hiện tại tôi đã xây dựng một hệ thống kiểm tra IP, trình duyệt của người dùng và cookie chuỗi ngẫu nhiên để xác định xem người đó có phải là quản trị viên hay không.
Trong trường hợp xấu nhất, ai đó đánh cắp cookie của tôi, sử dụng cùng trình duyệt với tôi và che giấu IP của anh ta để xuất hiện như của tôi. Tôi có nên thêm một lớp bảo mật khác vào tập lệnh của mình để đảm bảo an toàn hơn không?
EDIT: Chỉ cần làm rõ: trang web của tôi hoàn toàn không chấp nhận thông tin đầu vào từ người dùng. Tôi chỉ đang thiết kế bảng quản trị phụ trợ để giúp việc cập nhật các mục cơ sở dữ liệu dễ dàng hơn.
câu trả lời hay nhất
Kiểm tra trình duyệt là một sự lãng phí hoàn toàn mã. viết một tầm thường Hệ thống bảo mật là vô nghĩa để những kẻ tấn công vượt qua. Nếu kẻ tấn công lấy ID phiên thông qua xss hoặc đánh hơi đường dây, chúng cũng sẽ có "tác nhân người dùng" của bạn.
Việc kiểm tra địa chỉ IP sẽ buộc kẻ tấn công phải "đi" phiên bằng XSS+XHR hoặc XSRF. Điều này là do mã thông báo bị chiếm đoạt sẽ không hoạt động trên hộp của anh ấy. Thật không may, điều này cũng có thể gây ra sự cố trên các mạng công ty sử dụng tính năng cân bằng tải gửi đi trên nhiều địa chỉ IP.
HTTPS 必须用于toàn bộ phiên họp. Mã thông báo của bạn không bao giờ được gửi qua HTTP. Đây là Top 10 OWASP năm 2010 Có hướng dẫn rõ ràng trong phần "Xác thực và quản lý phiên không hợp lệ". , một điều tuyệt đối phải đọc nếu bạn đang viết trình xử lý phiên.
ID phiên phải luôn hết thời gian chờ.Nếu không có thời gian chờ, đây được gọi là phiên bất tử, đây là một lỗ hổng được công nhận.
Ngoài ra, tôi lo lắng hơn về tính ngẫu nhiên của mã thông báo của bạn. Đảm bảo bạn học cách tạo đúng cách mật mã nonce .Đảm bảo trình tạo số ngẫu nhiên của bạn đủ mạnh và chứa thông tin mà kẻ tấn công không thể biết được.
Tôi cũng nghi ngờ rằng bạn chưa xem xét XSS và XSRF. Nếu bạn không kiểm tra các lỗ hổng lớn thì phiên của bạn ở các khu vực khác mạnh đến mức nào cũng không thành vấn đề. Đảm bảo sử dụng máy quét xss miễn phí Quét ứng dụng của bạn hoặc wapiti nguồn mở. Hãy nhớ rằng không có thử nghiệm nào có thể phát hiện chính xác XSRF và mọi yêu cầu trong ứng dụng của bạn đều dễ bị tấn công trừ khi bạn vá nó một cách cụ thể.
Về python - An ninh mạng: Tình huống xấu nhất, chúng tôi đã tìm thấy một câu hỏi tương tự trên Stack Overflow: https://stackoverflow.com/questions/2670346/
27
4
0
Tôi thường thấy các biểu thức trường hợp được hình thành bằng cách sử dụng case, case+ hoặc case- trong ATS. Sự khác biệt là gì? Câu trả lời hay nhất Nếu biểu thức không đầy đủ, sử dụng case sẽ đưa ra cảnh báo, case+ sẽ tạo ra lỗi và case
Tôi có một bảng nhập ở dạng viết hoa toàn bộ và tôi muốn chuyển đổi nó thành kiểu chữ chính xác. Bạn sử dụng tập lệnh nào để thực hiện điều này? Câu trả lời hay nhất Chức năng này: "Chữ hoa đúng" Tất cả các từ "viết hoa" cách nhau bằng dấu cách Giữ nguyên "từ viết thường" Hoạt động tốt ngay cả đối với các chữ cái không phải tiếng Anh
#include int main() { switch(2) { trường hợp 1: if(1)
Tôi đã tìm kiếm một lúc, xin vui lòng tha thứ cho tôi nếu tôi sử dụng sai thuật ngữ... Mục tiêu của mã là cập nhật Aout1 và Aout0 khi đầu vào là 0 và đầu ra tương ứng với màn hình 7 đoạn , nhưng tôi gặp lỗi sau: "Lỗi ( 10170): Bốn
Tôi đang cố gắng làm theo hướng dẫn trong sổ tay PostgreSQL. PostgreSQL: Tài liệu: 9.1: Cấu trúc điều khiển Máy chủ PostgreSQL của tôi là
Tôi có một máy trạng thái có một số trạng thái rất giống nhau. Tôi có thể viết nó cho từng trạng thái như trong ví dụ sau: mô-đun CHECK_FSM ( GO, DONE, CLK, RESETN );
Làm thế nào để sử dụng hoặc tạo một trường hợp? Giống như: chuỗi str; case (str) "abc" || "dfg": bắt đầu // một số mã kết thúc "yfg":
Câu hỏi này đã có câu trả lời: Dấu ngoặc kép và dấu ngoặc đơn có thể hoán đổi cho nhau trong JavaScript không? (23 câu trả lời) Đã đóng 9 năm trước. Tôi đang học Java
CarMake | Mẫu | Màu Honda Accord 12 |
Làm cách nào để sử dụng giá trị của câu lệnh tình huống hiện tại để chuyển sang câu lệnh tình huống khác trong điều kiện trường hợp chuyển đổi? Có thể đạt được điều này bằng cách sử dụng switch case hay có cách nào khác để làm điều đó? Có thể được không? nếu không
Tôi hiểu mã bên dưới. var day = 2; switch (ngày) { trường hợp 1: document.write("Monday");
Điều này hoạt động. object FilesToDFDS { case class Sinh viên(id: Int, name: String, dept:String) def main(
Tôi vẫn chưa quen với VHDL. Tôi cần gán giá trị cho nhiều tín hiệu trong câu lệnh CASE như thế này: CASE input24 IS WHEN "00" THEN out0
Tôi có câu lệnh tình huống này và nó báo lỗi "Không sử dụng hằng số 1". Có vẻ như nó bỏ qua biến và trả về hàng đầu tiên, vì vậy biến rõ ràng không có phạm vi. Nếu tôi thay hằng số bằng số 1 thì nó hoạt động. trong thuốc tiên
Trong MySQL, có thể có hai câu lệnh CASE trong mệnh đề SELECT, trong đó câu lệnh CASE thứ hai phụ thuộc vào câu lệnh CASE đầu tiên không? Ví dụ: hãy xem xét truy vấn sau: SELECT CASE WHEN `user
Tôi đang thử một thử thách trong đó tôi cần lấy một số ngẫu nhiên và in tổng các số trong số đó mà không lặp lại: ví dụ: 123 sẽ in 6 (1 + 2 + 3), trong khi 32111 sẽ làm điều tương tự ( bởi vì chúng tôi đã không cộng vào tổng của mình
Khi ai đó cố cập nhật một giá trị hiện không được lưu trong hàm băm của tôi, tôi muốn quay lại ngay khi 'thêm' mà không cần khởi động lại toàn bộ câu lệnh tình huống, vì tôi đã biết họ muốn thêm và không muốn nhắc lại. Có cách nào để làm điều này mà không cần khởi động lại toàn bộ trường hợp không?
Các lập trình viên C kỳ cựu có thể nhận được một số trợ giúp với Swift. Tôi không hiểu rõ cú pháp if-case. Ví dụ: if case 20...30 = age { print ("in range.") } cas
Các lập trình viên C kỳ cựu có thể nhận được một số trợ giúp với Swift. Tôi không hiểu rõ cú pháp if-case. Ví dụ: if case 20...30 = age { print ("in range.") } cas
Tôi có một ArrayList chứa các chuỗi sau: [tên, tuổi, giới tính, lương] . Có cách nào để sử dụng các giá trị trong ArrayList làm biểu thức chữ hoa không? Câu trả lời hiển nhiên là không
Trung tâm cá nhân
Điều phát hành
từ bỏ
Tôi là một lập trình viên xuất sắc, rất giỏi!