1回答
我正在研究jwt python库的安全性分析。我想分析一下这些库是如何工作的,以及它们在开发中是如何使用的。不是源代码。此外,我还必须检查jwt库以防止已知的攻击,例如:RS256到HS256密钥混淆攻击不正确的加密和签名组合相同的收件人/交叉JWT混淆您希望在jwt python库的安全分析</em
浏览 0提问于2021-12-02得票数 2
回答已采纳
我正在构建一个服务,允许在桌面应用程序中输入激活键,然后调用web服务来检查密钥并返回许可证。此调用不需要授权。
web应用程序正在以Azure“Azure”的形式运行。
浏览 6提问于2017-09-15得票数 3
3回答
我读了这个页面:类别:OWASP最佳实践: Web应用程序防火墙的使用,我发现WAF通常无法检测逻辑攻击。现在,我的问题是,我们能否使用代码分析工具并将它们的结果传递给WAF来检测一些逻辑攻击,例如本页中描述的一个示例:逻辑和技术弱点?此外,我想知道在WAF中使用代码分析的优点是什么?
我谷歌了一下,找不到任何WAF,它使用代码分析来生成规则、提
浏览 0提问于2018-01-15得票数 4
我想知道是否有在web应用程序中实现日志记录的指导方针。
例如,假设web应用程序受到攻击,而一位安全专家来分析日志,那么他将试图找出什么东西呢?如何使日志分析更容易?
浏览 0提问于2013-04-09得票数 5
回答已采纳
1回答
这个问题的答案现在已经5年了:我可以通过查看我的Apache日志文件来检测web应用程序的攻击吗?我的老板要求我分析我们的access.log和error.log文件,在上周试图进行的mySQL注入攻击之后。在手工查看日志时,这是非常明显的,但是我们希望能够检测攻击模式的自动化内容(一个服务或一个可以通过cron定期运行的任务)。
我们使用的是nginx,但这不重要,因为日志是标准格式的。对于进行这类日志分析的程序有什么建议吗?我不关心像Webalyzer这样的程序所做的标准流量
浏览 0提问于2015-03-11得票数 1
回答已采纳
我一直在研究持久化XSS攻击的安全问题,我能够使用fortify来分析这个问题。代码用Java编写。out.write(byteData); //byteData is a data member of the class of type byte[].在上面的第(2)行,我收到了xss攻击的通知那么,我如何验证它呢?
浏览 1提问于2013-07-04得票数 0
回答已采纳
现在,我想测试最常见的攻击(以及糟糕的机器人活动),以验证一切是否正常。
您是否有测试网站安全性的工具或脚本?
浏览 4提问于2014-04-25得票数 1
回答已采纳
当你发明新密码时,如何避免差分密码分析攻击?
假设您有一个在差异密码分析攻击中易受攻击的16-round 128-bit密码。现在看来,攻击者必须首先猜测多个变量(我们通过密钥来定义它),才能进行差分密码分析攻击。因为他可以很容易地做到这一点,没有阻碍两轮之间的步骤。如果我想在差分密码分析中使密码具有抵抗力,那么使用它好吗?
浏览 0提问于2020-09-28得票数 0
如何利用贝叶斯网络对网络流量进行攻击分析?我读了一篇关于它的应用的有趣的文章。“基于贝叶斯攻击分析的应用防御”,但我不清楚它的方法。
浏览 0提问于2012-08-10得票数 1
回答已采纳
1回答
我计划对软件定义的网络进行漏洞分析。由于业务应用程序和SDN控制器之间的连接将在应用层完成,因此我假设可以通过Burp Suite中的请求操作来探索web攻击。由于OpenFlow交换机和控制器之间的连接是通过SSL进行的,那么漏洞分析也会涉及数据包操作吗?
浏览 0提问于2019-12-19得票数 1
我正在开发一个React应用程序,用户可以输入他们的交易数据的.csv,该应用程序将输出有用的分析,这将为他们未来的购买决策提供信息。我计划使用一个输入组件,让用户输入他们的csv文件,然后将其保存在应用程序的状态中,并使用它进行分析
const [csv, setCsv] = useState<FileList | null>();我对web世界中的攻击的了解只包括SQL注入和DoS,但仅此而已。我不打算为此使用后端服务器,所以我不确定攻击者是否仍能从客户端获取这些敏感数据,除非他们掌握了用
浏览 0提问于2022-02-18得票数 1
4回答
调查和检测不良用户行为或攻击的最佳方法是什么,比如拒绝服务或在我的web应用上利用漏洞?有没有其他(更好的)方法来分析和检测这种试探性的攻击?
注意:我说的是基于URL的攻击,而不是对服务器组件(如数据库或TCP/IP)的攻击。
浏览 1提问于2008-09-26得票数 1
回答已采纳
1回答
我对SQL注入完全陌生,我有一个标准的PCAP分析,它有如下所示的攻击:因此,我使用python脚本分析了PCAP文件,我确信存在SQL注入攻击。我的疑问是,在以下情况下,这种攻击是如何工作的,即,或者
浏览 1提问于2016-05-06得票数 1
回答已采纳
来自http://shattered.it的以下描述吸引了我的眼球:我基本上对密码学一无所知,所以我不知道短语SHA-1密码分析碰撞攻击的全部含义。根据我阅读描述的方式,它指出我可以分析硬盘上的任意文件
浏览 0提问于2017-03-07得票数 6
回答已采纳
我正在开发一个React应用程序,用户可以输入他们的交易数据的.csv,该应用程序将输出有用的分析,这将为他们未来的购买决策提供信息。我计划使用一个输入组件,让用户输入他们的csv文件,然后将其保存在应用程序的状态中,并使用它进行分析
const [csv, setCsv] = useState<FileList | null>();我对web世界中的攻击的了解只包括SQL注入和DoS,但仅此而已。我不打算为此使用后端服务器,所以我不确定攻击者是否仍能从客户端获取这些敏感数据,除非他们掌握了用
浏览 3提问于2022-02-18得票数 1
是否有专门针对web应用程序渗透、CWE问题和代码分析的认证,比如攻击性安全Web专家(OSWE)?我之所以提到这一点,是因为,正如每个人在不同的论坛上所说的那样,攻击性安全课程是实用的,它能让你真正洞察事物,而不仅仅是理论。如果我对任何事情有错误的印象,请纠正我:)
浏览 0提问于2017-08-08得票数 1
1回答
我对AES的弱点和AES密码分析有一些怀疑。虽然在以前的密码中查找密码分析信息相对简单,但我对理解AES上的各种类型的密码分析攻击感到困惑。
例如,到目前为止,我发现AES的弱点可能在于它的代数结构。有人知道很好的参考资料,在那里我可以找到更精确的信息,关于AES密码分析(即MITM攻击/Biclique攻击),或者有人能向我简要解释一下AES的主要攻击吗?对于侧通道攻击,我们基本上是指AES实现上的攻击吗
浏览 0提问于2022-11-28得票数 2
回答已采纳
云服务器
ICP备案
云直播
腾讯会议
实时音视频
腾讯云开发者
