草庐IT

SECURITY

全部标签

php 在 session 中存储用户标识?

我想知道在session中存储用户标识有什么风险?然后简单地做一个if(isset($_SESSION['user_id'])){login_user($_SESSION['user_id]);}session是否足够加密以至于我们不必担心对它们进行哈希处理?某人能够更改其ID的可能性有多大? 最佳答案 默认情况下,session作为文件存储在/tmp中。除非您有诸如directorytraversal之类的安全问题,否则最终用户无法查看它漏洞。客户端看到的唯一部分是存储在cookie中的唯一哈希值,它映射到服务器上的相关sessi

php - 帮助计算(和有用性)密码熵

这是一个两部分的问题:第1部分首先,处理在PHP中计算密码的熵。我一直无法找到任何经验上合理的代码示例,并且真的希望在找到计算最终数字的“正确”方法方面得到一些帮助。网上很多人都有自己的自制加权算法,但我真的在寻找方程式的科学答案。我将使用密码熵作为更大安全系统的一部分,并作为一种方法来分析我们的整体数据安全性,该方法基于用户密码泄露时可访问的信息以及暴力破解密码的难易程度.第2部分这个问题的第二部分是:这个数字到底有多大用处?我的最终目标是为系统中的每个密码生成一个“分数”,我们可以用它来监控我们作为动态实体的整体系统安全性。我可能不得不使用另一种或两种算法来应对字典攻击、l33t替

php - 帮助计算(和有用性)密码熵

这是一个两部分的问题:第1部分首先,处理在PHP中计算密码的熵。我一直无法找到任何经验上合理的代码示例,并且真的希望在找到计算最终数字的“正确”方法方面得到一些帮助。网上很多人都有自己的自制加权算法,但我真的在寻找方程式的科学答案。我将使用密码熵作为更大安全系统的一部分,并作为一种方法来分析我们的整体数据安全性,该方法基于用户密码泄露时可访问的信息以及暴力破解密码的难易程度.第2部分这个问题的第二部分是:这个数字到底有多大用处?我的最终目标是为系统中的每个密码生成一个“分数”,我们可以用它来监控我们作为动态实体的整体系统安全性。我可能不得不使用另一种或两种算法来应对字典攻击、l33t替

php - 防止对用户在 PHP 中提交的 HTML 内容进行 XSS 攻击,eBay 方式

我读过很多文章,描述了使用htmlspecialchars和正则表达式、白名单/黑名单等功能以及使用HTML过滤脚本(如HTMLPurifier、HTMLawed等)防止用户提交的HTML内容中的XSS攻击的方法。不幸的是,这些都无法解释像eBay这样的网站如何能够允许如此大量的潜在恶意HTML标签,例如,,以及CSS样式和HTML属性,例如background:url()等。似乎它们允许用户将几乎所有内容提交到他们的元素描述中。我在元素描述中看到了一些最精致的HTML、Javascript和Flash模板。eBay有何不同之处?是否有我遗漏的另一种技术或层,允许他们阻止XSS攻击,同

php - 防止对用户在 PHP 中提交的 HTML 内容进行 XSS 攻击,eBay 方式

我读过很多文章,描述了使用htmlspecialchars和正则表达式、白名单/黑名单等功能以及使用HTML过滤脚本(如HTMLPurifier、HTMLawed等)防止用户提交的HTML内容中的XSS攻击的方法。不幸的是,这些都无法解释像eBay这样的网站如何能够允许如此大量的潜在恶意HTML标签,例如,,以及CSS样式和HTML属性,例如background:url()等。似乎它们允许用户将几乎所有内容提交到他们的元素描述中。我在元素描述中看到了一些最精致的HTML、Javascript和Flash模板。eBay有何不同之处?是否有我遗漏的另一种技术或层,允许他们阻止XSS攻击,同

security_huks/framework/huks_standard/common/hks_check_paramset解读(二)

对于不同类型的参数core封装检查函数知识总结总结概述代码解读1.Pbkdf2算法相关2.封装函数对GenKey参数的检查3.对于importKey参数检查函数4.对于SignVerify参数的检查5.agreeKey的size检查函数6.对加密参数和数据封装检查函数7.本地加密参数的检查8.对于DeriveKey参数的检查函数9.MAC相关检查知识总结这里出现了一种新的加密函数PBKDF2它的基本原理是通过一个伪随机函数(例如HMAC函数),把明文和一个SALT值作为输入参数,然后重复进行运算,并最终产生密钥。如果重复的次数足够大,破解的成本就会变得很高。那么信息也就更加安全总结概述封装了对

php - 如果使用得当,htmlspecialchars 是否足以抵御所有 XSS?

如果下列陈述为真,所有文档都带有HTTPheaderContent-Type:text/html;charset=UTF-8.所有HTML属性都用单引号或双引号括起来。没有文档中的标签。在任何情况下htmlspecialchars($input,ENT_QUOTES,'UTF-8')(将&、"、'、、>转换为相应的命名HTML实体)在Web服务器上生成HTML时不足以防止跨站点脚本攻击? 最佳答案 htmlspecialchars()足以防止文档创建时HTML注入(inject)与您声明的限制(即不注入(inject)标记内容/未引

php - 如果使用得当,htmlspecialchars 是否足以抵御所有 XSS?

如果下列陈述为真,所有文档都带有HTTPheaderContent-Type:text/html;charset=UTF-8.所有HTML属性都用单引号或双引号括起来。没有文档中的标签。在任何情况下htmlspecialchars($input,ENT_QUOTES,'UTF-8')(将&、"、'、、>转换为相应的命名HTML实体)在Web服务器上生成HTML时不足以防止跨站点脚本攻击? 最佳答案 htmlspecialchars()足以防止文档创建时HTML注入(inject)与您声明的限制(即不注入(inject)标记内容/未引

php - 2011 年 PHP 中的 XSS 方法?

我正在尝试了解可用且适当的反制措施的最新信息,这些反制措施可以积极降低2011年期间被XSS序列攻击的可能性。我以前所未有的方式进行了谷歌搜索,发现网上有大量库可以帮助解决XSS问题,这些库自豪而大胆地指出“XSS/SQL注入(inject)问题到此为止”。我发现这些图书馆至少有以下两种症状之一:图书馆非常庞大,它可能有自己的心跳。图书馆是海滩男孩在radio里玩耍的时代。PHP已经存在了一段时间,远非体面的strip_tags伴随着诸如filter_var等功能。我远不是这些安全问题的专家,真的不知道它是否能确保将来睡个好觉。我在2011年减少XSS注入(inject)的最佳机会是什

php - 2011 年 PHP 中的 XSS 方法?

我正在尝试了解可用且适当的反制措施的最新信息,这些反制措施可以积极降低2011年期间被XSS序列攻击的可能性。我以前所未有的方式进行了谷歌搜索,发现网上有大量库可以帮助解决XSS问题,这些库自豪而大胆地指出“XSS/SQL注入(inject)问题到此为止”。我发现这些图书馆至少有以下两种症状之一:图书馆非常庞大,它可能有自己的心跳。图书馆是海滩男孩在radio里玩耍的时代。PHP已经存在了一段时间,远非体面的strip_tags伴随着诸如filter_var等功能。我远不是这些安全问题的专家,真的不知道它是否能确保将来睡个好觉。我在2011年减少XSS注入(inject)的最佳机会是什