نوشته‌شده در

TLS – امن ترین روش برای ارسال اطلاعات احراز هویت به API چیست؟

از احراز هویت پایه استفاده نکنید، آن منسوخ شده است. هنگام استفاده از اعتبارنامه احراز هویت پایه به عنوان یک شناسه جلسه به کار می رود، بنابراین باید در هر درخواست ارسال شود. این دو حادثه بزرگ است:

  • مجوزهای ذخیره شده در حافظه پنهان مرورگر در متن ساده است که ممکن است در بعضی از سناریوها مورد سوء استفاده قرار گیرد.

  • جلسه را نمی توان متوقف کرد زیرا آن را به اعتبار کاربر متصل می کند و اعتبار هیچ مفهومی از منقضی شدن به عنوان JWT، کوکی ها و یا نوع دیگری از نشانه ها (توجه: هنگامی که می گوید منقضی شده من اشاره به رمز گشایی رمز عبور به عنوان در "نیاز به تغییر رمز عبور هر 3 ماه"، اما اعتبار به عنوان یک طرح اعتبار سنجی)

حتی اگر شما تلاش برای استفاده از احراز هویت اساسی سپس یک مرورگر کوکی را ارسال می کند که اعتبارنامه را در header مجوز حفظ خواهد کرد.

اگر شما از درخواست AJAX استفاده می کنید، توصیه من این است که با احراز هویت کوکی یا مهاجرت به JWT بمانم. توجه داشته باشید که اگر API از یک نام میزبان دیگر نامیده می شود (به عنوان مثال www.example.com یک api را در api.example.com فراخوانی می کند)، سرصفحه های مربوط به CORS برای اجازه دادن به اعتبار ها باید به درستی تنظیم شوند

نوشته‌شده در

سیاست مبدأ همان – آیا SOP مانع از حمله مهاجم به ارسال داده توسط XSS است

من درک می کنم که SOP XSS را به خودی خود مانع نمی کند، مثلا: اگر کسی یک اسکریپت مثل هشدار ("bla-bla") را تزریق کند، آن هم اعدام خواهد شد.

اما من می خواهم تأیید کنم اگر SOP به درستی پیکربندی شده باشد (Access-Control-Allow-Origin تنها یک لیست از دامنه های قابل اعتماد است)، پس از آن یک مهاجم قادر نخواهد بود به ارسال کند [بااستفادهازAJAX بازیابی شده توسط اجرای اسکریپت XSS؟ معنی این که SOP به طور صحیح پیکربندی شده امکان کاهش XSS را دارد؟

آیا درست است؟
با تشکر از شما

نوشته‌شده در

در وب سایت? موتور ارسال استراتژی شما نیاز دارید بدانید

متأسفانه پژوهش برای بسیاری از ما در تلاش برای نوشتن وبلاگ در اینترنت، رویای آینده درست می رسد. ما می دانیم آنچه که ما می گویند مهم و با ارزش است اما گرفتن آن را به خوانندگان علاقه مند می تواند یک چالش بزرگ. چه کسی می دانست که سخت ترین قسمت نوشتن برای زندگی می گرفتن تماس با خوانندگان علاقمند در وب?

تحقيقات موتور ارسال تمام آن را تغییر دهید. این نام تجاری بازاریابی استفاده از این واقعیت است که، هر روز طول می کشد، به معنای واقعی کلمه میلیون ها کاربر را ده ها میلیون ها نمایش داده شد در موتور های جستجو فوق العاده قدرتمند. در چنین حالتی شما سایت خود را پس از تنها چند تاکتیک های بهینه سازی ساده پاپ می توانید.

اول، شما باید به طور منظم به روز رسانی خواهد شد. این باید بدون گفت، با این حال بسیاری از صاحبان وبلاگ فکر این برنامه های حکومت به آنها می رسد. شواهد است; برنامه منظم به روز رسانی اولین و مهم ترین گام در ایجاد پایگاه فن است که به سایت شما است. چیزی که بعد از به یاد داشته باشید این است که زمانی که تلاش برای استفاده از وب سایت تحقیقات موتور ارسال دستورالعمل شما سایت خود را به بسیاری از سایت های اجتماعی نشانه ممکن است مراجعه کنید. این امر موجب افزایش قابلیت مشاهده سایت شما به موتورهای شبیه گوگل جستجو و بازدید همه بیشتر به احتمال زیاد باعث می شود. آخرین از همه، شما نیاز برای اطمینان از نوع حق مردم را برای سایت خود را هدف قرار.

اگر شما بخشی خود را, شما می توانید حک کردن تو رفتگی در دیوار خود را در وب. تحقيقات موتور ارسال واقعا شما همراه کنید. سخت ترین قسمت حتی می تواند برای شما با استفاده از نرم افزار بزرگ سوئیت مانند کسانی که ارائه شده توسط ژان فیلیپ Schoeffel که ترافیک وپ دات کام خودکار. این تکنیک را امتحان کنید و خودتان ببینید چه آسان است برای یک وبلاگ موفق.

video

متأسفانه پژوهش برای بسیاری از ما در تلاش برای نوشتن وبلاگ در اینترنت، رویای آینده درست می رسد. ما می دانیم آنچه که ما می گویند مهم و با ارزش است اما گرفتن آن را به خوانندگان علاقه مند می تواند یک چالش بزرگ. چه کسی می دانست که سخت ترین قسمت نوشتن برای زندگی می گرفتن تماس با خوانندگان علاقمند در وب?

تحقيقات موتور ارسال تمام آن را تغییر دهید. این نام تجاری بازاریابی استفاده از این واقعیت است که، هر روز طول می کشد، به معنای واقعی کلمه میلیون ها کاربر را ده ها میلیون ها نمایش داده شد در موتور های جستجو فوق العاده قدرتمند. در چنین حالتی شما سایت خود را پس از تنها چند تاکتیک های بهینه سازی ساده پاپ می توانید.

اول، شما باید به طور منظم به روز رسانی خواهد شد. این باید بدون گفت، با این حال بسیاری از صاحبان وبلاگ فکر این برنامه های حکومت به آنها می رسد. شواهد است; برنامه منظم به روز رسانی اولین و مهم ترین گام در ایجاد پایگاه فن است که به سایت شما است. چیزی که بعد از به یاد داشته باشید این است که زمانی که تلاش برای استفاده از وب سایت تحقیقات موتور ارسال دستورالعمل شما سایت خود را به بسیاری از سایت های اجتماعی نشانه ممکن است مراجعه کنید. این امر موجب افزایش قابلیت مشاهده سایت شما به موتورهای شبیه گوگل جستجو و بازدید همه بیشتر به احتمال زیاد باعث می شود. آخرین از همه، شما نیاز برای اطمینان از نوع حق مردم را برای سایت خود را هدف قرار.

اگر شما بخشی خود را, شما می توانید حک کردن تو رفتگی در دیوار خود را در وب. تحقيقات موتور ارسال واقعا شما همراه کنید. سخت ترین قسمت حتی می تواند برای شما با استفاده از نرم افزار بزرگ سوئیت مانند کسانی که ارائه شده توسط ژان فیلیپ Schoeffel که ترافیک وپ دات کام خودکار. این تکنیک را امتحان کنید و خودتان ببینید چه آسان است برای یک وبلاگ موفق.

نوشته‌شده در

با سفر خارج از کشور خودتان می توانید آن را به نحوی نشان دهید که ایمیل های شما از طریق یک کشور دیگر ارسال شده است؟

در حالی که نظر مایک اوونزورث معتبر است، برای مثال یک سرور پروکسی می تواند به نظر شما ایمیل شما را از یک کشور دیگر ارسال کند.

به عنوان مثال (آدرس سرور مشتری / ایالات متحده آمریکا) — (SOCKS5 پروکسی سرور / ایسلند IP آدرس) — (سرور ایمیل)

ایده بیشتر است، آدرس ایمیل سرور ورود به سیستم را وارد می کند، و سپس تفسیر کشور که آنها از . اغلب اوقات بسیاری از آدرس IP را وارد می کنند، در حقیقت، مگر اینکه آنها در غیر این صورت مشخص کنند، فرض کنید سرویس log باشد. توجه داشته باشید که این سیاههها تنها برای مدیران سیستم در دسترس هستند، چرا که سیاهههای مربوط به Backend هستند.

مشاهده سرصفحه های ایمیل در Hotmail / MSN

با وجود قدری، من احساس می کنم این به سوال شما پاسخ می دهد. مشاهده هدر ایمیل در هاتمیل کدام قسمت از خواندن منبع اصلی اصلی را برای مشاهده هدر ایمیل که شامل آدرس IP (فرستنده) می باشد را می نویسد. این به طور کامل وابسته است اگر سرور ایمیل به آدرس IP منبع منتقل می شود به عنوان آن می تواند به طور کامل تغییر داده شده و یا تمام شده است. لطفا این ایده از خواندن هدر ایمیل برای آدرس آی پی و بالا را نادیده بگیرید، جایی که من در مورد سرور خودم نگه داشتن سیاهههای مربوط است.

نوشته‌شده در

شبکه – چگونگی ارسال فریم های مدیریت Wi-Fi از macOS؟

متوجه شدم که این سوال قبلا در ارتباط با این موضوع قرار گرفته است. با این حال، هیچ یک از راه حل های پیشنهاد شده، سؤال من را حل نکردند. در حالی که Kismac2، aireplay-ng و scapy ذکر شده است؛ هیچ کدام از موارد قبلی مشکل من را حل نمی کند. هدف من این است که بتوانم فریم های authentication را (و دیگر فریم های مدیریتی و همچنین در صورت امکان) از خط فرمان ارسال نمایم.

در حالی که aireplay-ng به احتمال زیاد برای Mac قابل دسترس است پس از اجرای آن، هیچ کاری انجام نمی دهد. من احساس می کنم این همان مشکل است که بسیاری از کاربران مک دیگر نیز دارند. علاوه بر این، به نظر می رسد اسکاپی مسائل مشابهی داشته باشد. یک راه حل مانند scapy بسیار عالی خواهد بود زیرا به من اجازه می دهد که فریم های دیگر مانند frame beacon را نیز ارسال کنم. در نهایت، Kismac2 ترجیح داده نمی شود زیرا دارای GUI است و من فقط یک روش متداول فرماندهی ساده برای ارسال این فریم ها را می خواهم.

P.S. یک ابزار که برای من فرستاده شده برای ارسال deauths است این است که یک بار دیگر، آن را بر اساس GUI است. با این حال، من علاقه مند به دانستن دقیق این ابزار قادر به ارسال فریم است