草庐IT

SECURITY

全部标签

php - 安全地发送 PHP 从 iOS 获取信息

情况是这样的,我有一个iOS应用程序,其中包含用户将信息输入特定标签的部分,然后我根据用户提供的信息创建一个URL请求,并将其发送到我的PHP后端。URL遵循以下结构:http://www.somewebsite.com/send.php?title=hello&name=john&contact=email现在上面的问题是任何有权访问该URL的人都可以很容易地用垃圾邮件、过多的提交等轰炸数据库。感觉非常不安全。我应该采取什么方法来使这个过程尽可能安全?我目前对PHP的知识水平是能够通过简单地使用“完成工作”的方法(无论它们有多安全)来完成任务,但现在我开始达到我需要的地步牢记安全,安

ios - APNS token 应该加密吗?

所以,我想知道,既然用户将他们的APNStoken发送给APNS提供商以接收推送通知,那么token是否应该加密?是否需要SSL?据我所知,token中没有真正的敏感数据。如果有人真的设法从用户​​那里嗅探到token,他仍然必须获得我的推送证书。如果他设法做到了(他不会;-)),他所能做的就是向这个特定用户发送垃圾邮件通知。那是对的吗?还是我错过了什么?另外,我假设不可能根据APNStoken识别设备(或更重要的是,它的用户)?所以,我想确保,如果有人嗅探到来self的一个客户的推送通知注册(注册包含APNStoken和用户感兴趣的信息,并且连接未加密,所以一切都可以明文读取文本).

ios - 处理滥用自定义 URL 方案进行网络钓鱼攻击的最佳实践

场景:一个Web应用程序,一旦新用户完成注册,就会发送一封电子邮件,其中包含一个URL,一旦从iOS设备中点击该URL,iOS应用程序就会启动。该场景是让用户使用移动应用的经典场景。在实现它(使用URL方案)时,我们开始怀疑这种方法的安全性如何?理论上-恶意应用程序可以注册相同的URL方案,并且根据Apple的说法:Note:Ifmorethanonethird-partyappregisterstohandlethesameURLscheme,thereiscurrentlynoprocessfordeterminingwhichappwillbegiventhatscheme.Im

ios - 如何让 iOS Safari 为基本认证网站保存密码?

我目前正在开发一个网站,该网站使用基于https的基本身份验证一些使用iOSSafari的客户提示Safari不要求保存密码。似乎iOSSafari仅在网站实现基于表单的身份验证时才要求保存密码。我不想在所有设备上安装第三方浏览器或应用程序来解决这个问题。那么,有什么方法可以强制iOSSafari保存基本身份验证网站的密码吗? 最佳答案 根据thisquestion上的回答,您无法在IOS上使用Safari保存HttpBasicAuth凭据。如果您的服务的安全级别允许,您可以通过向书签添加凭据将凭据保存到书签,如下所示:https:

ios - 以安全格式存储游戏偏好和保存的游戏

这是来自Apple文档:WhenyoudesignagamethatreportsscorestoGameCenter,youshouldalsoconsiderthesecurityneedsofyourgame.YouwantscoresreportedtoGameCentertobeanaccurateaccountingofhowplayersaredoing.Herearetwosuggestions:Storeyourgame’spreferencesandsavedgamesinasecureformat,ratherthanincleartext.Ifyourgame’

iphone - iOS 密码强度检查器

寻找有关objective-c密码强度检查器的建议。我做了一些谷歌搜索,没有找到任何命中,也没有找到。我可以写一个,但我想我会先在这里检查-有人实现了吗? 最佳答案 我只知道两个一般的密码强度估计器:zxcvbn(在CoffeeScript中,编译为JavaScript)和Passfault(在Java中,似乎旨在用作网络应用程序)。(实际上,这是一个轻微的谎言;我前一段时间读了一篇博士论文,但我不确定我把链接放在哪里。)我详细查看过的所有其他密码“强度”检查器都存在缺陷,通常很深有缺陷(例如GRC的“haystacks”采用非常愚

Shiro - Shiro简介;Shiro与Spring Security区别;Spring Boot集成Shiro

一、Shiro以下引自百度百科shiro(java安全框架)_百度百科ApacheShiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。(一)主要功能三个核心组件:Subject,SecurityManager和Realms1、Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(DaemonAccount)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。Subject代表了当

iphone - 在 iOS 应用程序中调用 "secret"URL 有多安全?

我们想在我们的应用程序中使用网络服务,这显然需要调用URL。它不是HTTPS,只是普通的旧HTTP,使用NSURLConnection。问题是:此Web服务非常昂贵,每一千次调用都会让我们付出真金白银。担心的是有人可以找出我们调用的URL,然后滥用它,让成本激增。我们无法跟踪对该Web服务的调用是否合法。我们的计算依据是我们销售的应用数量,乘以每个用户平均使用该应用的频率的假设。我们有一些很好的统计数据,我们的假设以此为基础。是否有已知的方法可以确定应用在互联网上调用哪个URL来检索信息? 最佳答案 当手机连接到WiFi时,您可以轻

html - 在网页读取之前更改 IP 地址

假设有一个名为whatisyourip.com的网页,我有一个名为changeip.com的网页。用户想通过changeip.com进入站点whatisyourip.com。通常,changeip.com是一个代理服务器,因此用户可以隐藏他的IP地址。这就是用户访问其国家/地区禁止访问的网页的方式。但我想问一下,有没有办法在通过changeip.com连接时向whatisyourip.com显示不同的ip地址而不将其用作代理服务器? 最佳答案 isthereawaytoshowadifferentipaddresstowhatisy

tcp - 网络有多不安全?

我刚刚开始编写套接字程序。知道单个UDP数据包具有源端口目标端口和一些代表路由器的MAC地址等。我想知道为什么任何人都不能创建带有虚假信息的自定义数据包并通过互联网发送。我想知道我们的PC有多安全。应该如何保护它? 最佳答案 答案有几个不同的方面。一个是网络依赖于TCP,而不是UDP。这意味着它是面向连接的。您的包裹将被拒绝,除非它看起来是现有连接的一部分(这意味着,除其他外,它还必须具有正确的源IP和端口。并且它必须具有正确的序列号以适应接收窗口)。当然,这仍然可以毫不费力地伪造。但它确实需要您了解一些有关在原始连接上发送的数据包