Domande con tag 'environment-variables'

domande con tag
3
risposte

Testo normale Rails variabili d'ambiente e sicurezza

Lavoro per un'azienda sanitaria che enfatizza la sicurezza, a causa della sensibilità dei dati con cui lavoriamo. Di recente, abbiamo effettuato molti controlli (interni ed esterni) del nostro attuale "stack" per garantire che siamo conformi ai...
posta 12.01.2017 - 17:56
0
risposte

Le variabili ambientali per il web PaaS sono un cattivo odore di sicurezza?

Vedo una tendenza per la distribuzione di app Web in PaaS che la configurazione è in genere definita in variabili ambientali. per esempio. Funzioni di Azure o .net apis core Supponendo che questo sia stato fatto per seguire le buone pratiche...
posta 10.06.2018 - 00:22
1
risposta

Qual è la motivazione per escludere / usr / local / bin dal PATH di root?

Ho appena scoperto che root 's PATH su CentOS non include /usr/local/bin . Qual è la logica per questo? Sono tentato di aggiungerlo al PATH ma non so quali vulnerabilità potrebbero introdurre.     
posta 16.09.2016 - 23:09
1
risposta

Perché il bit setuid non funziona quando eseguo questo binario?

Attualmente sto affrontando le sfide di Narnia su overthewire.org. Per la sfida 1 - > 2, mi imbatto in un problema che non riesco a capire. Fondamentalmente c'è un programma in C chiamato narnia1 che ha il bit setuid impostato. Questo è il co...
posta 09.04.2018 - 00:30
0
risposte

Esiste qualcosa di intrinsecamente insicuro nell'impostazione di una variabile d'ambiente personalizzata su un parametro di richiesta?

Immagina di avere il seguente endpoint di binari: def configure_welcome_message ENV['myapp_welcome_message'] = params[:welcome_message] end A parte il fatto che questo è un modo insignificante per impostare un messaggio di benvenuto, c'è...
posta 20.07.2017 - 14:21
0
risposte

Node.js ENV VAR Security

Recentemente ho avuto un dibattito con un collega dev su dove memorizzare Node.js env vars. Io uso sempre i file .env e li carico come VAR ENV corretti in fase di esecuzione, tuttavia il mio compagno dev utilizza i file di configurazione JSON...
posta 03.10.2017 - 12:30
0
risposte

È sicuro recuperare la chiave pubblica / segreta di GnuPG con fs in Node.js?

Quindi c'è un pacchetto Node.js openpgp che è disponibile per la firma di documenti con GPG, ma richiede pubblico / chiave segreta. Sappiamo tutti che inserire la chiave direttamente nel file è pericolosa e non raccomandarla in fase di produzi...
posta 09.03.2018 - 12:25
2
risposte

ENV esporta nella finestra mobile entry_point.sh eseguita da CI

Supponendo di avere la seguente riga nelle impostazioni di Django: OKPAY_API_KEY = os.environ.get('Ok_PAY_API_KEY') Quindi importalo nel mio processo di compilazione in wercker CI E poi scrivi questa var alla entrypoint.sh d...
posta 18.01.2017 - 15:52
2
risposte

Che tipo di attacchi possono essere eseguiti da un utente malintenzionato che può impostare variabili d'ambiente? [chiuso]

Se un utente malintenzionato può impostare a piacere le variabili di ambiente, quali attacchi possono essere eseguiti utilizzando questo vantaggio e quale grado di controllo può assumere l'attaccante?     
posta 19.09.2016 - 15:18
2
risposte

Il codice shell non viene eseguito come proprietario

(Questa è una domanda riguardante una sfida in un wargame su overthewire.org chiamato Narnia) Ecco il codice sorgente dello script vulnerabile "narnia1" che intendo sfruttare: #include <stdio.h> int main(){ int (*ret)(); if(...
posta 29.04.2018 - 13:29