من می خواهم حداکثر تعداد پارامترهای HTTP (maxParameterCount) را از 10،000 تا 20،000 در پیکربندی Tomcat افزایش دهم:
https://tomcat.apache.org/tomcat-8.5-doc/config/http.html
چه خطرات امنیتی افزایش حداکثر تعداد پارامترهای HTTP است؟
برنامه ی وب – خطرات ناشی از سوءاستفاده از کاربران / مجوز آپاچی چیست و راه درست برای انجام آن چیست؟
هر بار که آپاچی را برای تست یک اسکریپت نصب می کنم، این سوال برای من مطرح می شود. من آن را اغلب انجام نیست، اما من به یاد داشته باشید این یک نقطه درد از سال 2007 است.
بسیاری از آموزش / انجمن توصیه استفاده از:
sudo chmod -R 777 / var / www /
اما هرگز اشاره نکنید که این برای تولید نیست یا هنوز هم توصیه می شود حتی زمانی که سؤال مشخص کند که سرور به صورت عمومی روبرو است، اما ما نمی خواهیم غریبه ها قادر به نوشتن پرونده ها در سرور ما باشند
راه حل دیگری پیدا شد تغییر صاحب پوشه به کاربر شما، و سپس تغییر مجوز:
sudo chgrp joe / var / www / html
sudo chmod 775 / var / www / html
sudo chown -R joe / var / www / html / *
اما داشتن مالکیت فایل های به صورت عمومی و در حال اجرا من را به عنوان یک عمل بد عمل می کند، نه همه فایلی که ممکن است در این پوشه ایجاد کنیم متعلق به کاربر ما خواهد بود.
پیامدهای این و دیگر رفتارهای بد ؟ راه های صحیح تنظیم مجدد کاربران / مجوز یک وب سرور روبرو می شوند؟
احراز هویت – خطرات امنیتی مربوط به تولید یک رشته امنیتی به عنوان یک رشته، به جای یک تصویر چیست؟
در کار ما با استفاده از یک سیستم تأیید اعتبار به نام Swivel Secure بدون پیاده سازی به طور خاص هنگام اتصال به دستگاه های مشتریان ما مانند روترها، سوئیچ ها، فایروال ها و غیره باید یک OTC (برای 2FA البته)
اتصال به یک سوئیچ باید ارائه دهد: نام کاربری، گذرواژه و OTC به منظور دریافت OTC ما باید یک پیوند را ایجاد کنیم که تصویر را تولید می کند (نگاه کنید به مثال زیر)
یک پیوند معمولا به شیوه زیر نمایش داده می شود – https: // PinSecurity .StackExchange.com: 8443 // proxy / SCImage؟ username = JoshJones
اگر شما با یک تصویر تورینگ آشنا هستید، اساسا هر کاربر یک پین (که می تواند باشد تغییرات) عدد های بالا مربوط به اعداد است که می تواند در پین کاربران استفاده شود و اعداد پایین اعداد مورد نیاز برای احراز هویت موفق هستند.
به عنوان مثال: اگر پین من 1234 با استفاده از تصویر بالای OTC من برای تأیید صحت موفق 3087 باشد.
در Swivel یک گزینه وجود دارد که به شما اجازه می دهد که آن SCImage را فقط یک رشته با استفاده از SCIMage با SCText ، من از یک توسعه دهنده در Swivel در مورد این سوال خواسته بودم و او گفت: "به طور پیش فرض غیر فعال شده است زیرا به طور ذاتی ناامن است." من این بیانیه را بسیار مبهم یافتم و متاسفانه او هرگز به درخواست خود برای گسترش پاسخ نمی دهد.
دقیقا همان چیزی است که ناامن برای ایجاد رشته امنیتی به عنوان متن؟ من متوجه شدم که در کامپایلر آن به راحتی قابل خواندن است، شما می توانید فقط HTML را برای گرفتن رشته امنیتی از بین ببرید در حالی که با تصویر شما باید از نوعی نرم افزار / کتابخانه OCR برای به دست آوردن شخصیت های تصویر استفاده کنید که می تواند بسیار سخت باشد به خصوص اگر تصویر بسیار سقوط کرده است.
بنابراین چگونه آن را امن تر برای تولید این رشته امنیتی به عنوان متن؟ حتی این که شما می توانید تمام ترکیبات را تکرار کنید، زیرا مکانیسم قفل کردن روی بازخوانی های زیادی وجود دارد، بنابراین شما نمی توانید کسی را بدون ذهنتان حدس بزنید، و غیره.
اگر کسی بتواند این را برای من روشن کند که عالی باشد. انتظار دارم که چیزی از دست رفته و فقط به درستی فکر نکنم
خطرات واقع بینانه از سرریز بافر امروزه
به نظر می رسد که سرریز بافر به عنوان رایج ترین و خطرناک ترین مشکلات امنیتی در برنامه های امروز محسوب می شود. اما من نمی فهمم چطور چرا توسعه دهندگان فقط از یافتن و جایگزینی تابع برای جایگزینی تمام پیاده سازی های نا امن از I / O با موارد ایمن استفاده نمی کنند؟
چرا شرکت های بزرگی مثل Adobe و Microsoft را فقط یک بار برای همیشه و برای همیشه رفع نمی کنند؟
