如何防止服务器数据库破解
为了防止服务器数据库破解,可以采取以下措施:
- 强化访问控制:确保只有授权的用户能够访问数据库。可以通过使用强密码、多因素身份验证、访问控制列表(ACL)等方式来限制访问权限。
- 加密数据传输:使用安全套接层(SSL)或传输层安全(TLS)协议来加密数据库与应用程序之间的数据传输,防止数据在传输过程中被窃取或篡改。
- 定期备份数据:定期备份数据库,并将备份数据存储在安全的地方,以防止数据丢失或被破坏。备份数据可以用于恢复数据库,并减少因数据泄露或破坏而造成的损失。
- 更新和修补漏洞:及时安装数据库软件的安全补丁和更新,以修复已知的漏洞和安全问题。同时,定期进行安全审计和漏洞扫描,及时发现并解决潜在的安全风险。
- 强化密码策略:使用复杂且不易猜测的密码,并定期更换密码。可以采用密码策略来限制密码的长度、复杂度和有效期,以增加密码的安全性。
- 使用防火墙和入侵检测系统:配置防火墙来限制对数据库服务器的访问,并使用入侵检测系统(IDS)来监测和阻止潜在的攻击行为。
- 定期进行安全审计:定期审查数据库服务器的安全配置和访问日志,及时发现异常活动和潜在的安全威胁。
- 建立安全意识培训:加强员工的安全意识培训,教育他们如何正确处理敏感数据和遵守安全策略,以减少内部威胁。
腾讯云相关产品和产品介绍链接地址:
- 腾讯云访问管理(CAM):https://cloud.tencent.com/product/cam
- 腾讯云SSL证书:https://cloud.tencent.com/product/ssl
- 腾讯云云服务器(CVM):https://cloud.tencent.com/product/cvm
- 腾讯云数据库(TencentDB):https://cloud.tencent.com/product/cdb
- 腾讯云安全审计(CloudAudit):https://cloud.tencent.com/product/cloudaudit
- 腾讯云云防火墙(CFW):https://cloud.tencent.com/product/cfw
- 腾讯云入侵检测系统(IDS):https://cloud.tencent.com/product/ids
相关·内容
1回答
我最近启动了我的桌面应用程序,几天后它就被破解了。我在堆栈溢出上发布了一个问题,人们说我无法阻止它。在软件开始的时候,我不能允许这种情况发生,我想要一个解决方案。所以,下面是我的想法。
目前,我有一个桌面应用程序,它可以与web服务器通信来验证用户。一旦用户通过验证,它就会将值保存在注册表中。黑客绕过了通信代码,在注册表中添加了假值,现在他可以使用我的软件了。
现在,我计划将我的一些代码从软件的主要功能中转移到WEB服务器上的其他地方托管的web服务。每当软件需要运行该特性时,软件都会使用注册表中的值调用WEB服务。我将验证这些值并返回结果。但是如果这些值与我的数据库不匹配,那么我将拒绝调用。
浏览 0提问于2012-07-31得票数 0
回答已采纳
1回答
我试图设计一个空隙服务器,它将由用户托管和管理。我将在该服务器上运行SQLServer2019,该服务器将访问一个重要的托管数据库。
如何防止用户在文件系统级别上修改或替换数据库?请注意,该用户将是一个标准用户,而不是将具有管理员权限。
我知道我可以使用角色和密码来控制数据库访问,所以我更担心文件系统对数据库文件的访问。
架构
是一个以标准权限运行的.NET应用程序,用户可以使用它来查看数据库中的一些数据(有限的读取访问权限)。是一个具有可以读写数据库的管理权限的.NET服务,但是用户将无法访问它。
理想情景
所有对数据库的访问都必须通过Server。用户将无法通过filesystem.The
浏览 5提问于2022-06-15得票数 0
回答已采纳
1回答
避免特权内部攻击的密码存储
、、、、
在远程服务器上进行身份验证的客户端服务器设置中的标准密码身份验证协议是什么?是否有任何密码/密码验证协议能揭示出对客户端输入密码的零知识(或在随后的几轮登录中不断更改的有限知识),但服务器仍然可以对客户端进行身份验证?此外,服务器不应该存储关于客户端密码的足够数据,从而导致任何潜在的内部攻击。
据我所知,在服务器上以纯文本存储密码是没有帮助的。如果salt也存储在服务器上,则存储盐度散列没有帮助,在特权攻击中可以绕过比较。而且,在客户端丢失设备/数据时,在客户端存储数据并不理想,这将迫使我们完全依赖身份协议,据我所知,这些协议与密码验证是一样的(除了使用可信第三方的标识协议,但这不是理想的选择
浏览 0提问于2019-04-14得票数 0
在ASP.Net 1.1中,终端用户是否可以在将视图数据发送回服务器之前更改视图数据,例如,使其看起来像是在一个不存在的下拉列表中选择了一个项目?我尝试过使用firebug操作下拉列表中的值,但服务器似乎忽略了这一点,我假设是因为视图状态显示该项不存在,如果可以更改视图数据来实现这一点,那么可能会出现更大的问题。
我之所以这样问,是因为我被要求检查我们的一个应用程序的安全性,如果上述情况可行,可能会存在很大的安全漏洞。
我只是想澄清一下,我不是在问怎么做,我不想破坏别人的软件,我只想知道它是不是需要关注的东西。
希望这是有意义的。
谢谢
浏览 1提问于2009-06-26得票数 3
回答已采纳
1回答
用户可以通过HTTPS连接到我在IIS服务器上运行的WCF服务。为了识别用户,我创建了一个存储在数据库中的字母数字user-ID。
我的计划是使用非对称加密方法,加密user-ID,将其存储在一个文件中,然后将其公开给我的客户。然后,客户端通过HTTPS连接到我的WCF服务,并调用Login(“加密用户ID”)。
这是一种实现客户端<->服务登录的好且安全的方法吗?我能做些什么来防止窃取带有加密用户ID的文件呢?或者,运行服务的服务器是否应该为执行身份验证的服务颁发证书?但是,我如何将user-ID存储在该证书中呢?
浏览 4提问于2014-04-13得票数 0
1回答
我已经创建了一个.net应用程序,该应用程序目前正在使用应用程序根目录中的一个加密文本文件来存储许可信息,我想知道是否最好重写我的应用程序,从隔离存储存储和检索许可证信息。
这样做安全吗,我在中读到,将未加密的密码等存储在隔离存储中并不是最好的主意,但我已经对我的许可证文件使用了加密。所以安全吗。
我唯一的要求是,用户不能意外地发现文件并把它搞砸。
更新:
我不想将许可信息存储在注册表中,因为如果任何具有基本计算机知识的人想要“破解”产品的许可证,这是第一个会去的地方。
数据库可能是个好主意,但除了之外,我没有发现任何符合我要求的方法,而sqllite是我最后的选择
浏览 1提问于2011-06-28得票数 0
回答已采纳
1回答
我刚刚开始构建一个相当简单的web应用程序,在这个应用程序中,数据存储在一个数据库中,使用php和mysql存储在这个国家的一个地区,然后在另一个地方检索数据。这些数据将包含在任何情况下都不得被第三方访问的个人信息。而且,在某些情况下,第三方可能会积极尝试获取这些信息。假设是证人的名字。这是一个在没有任何证人保护的发展中国家在低预算的情况下建立的系统。
我想要采取的措施之一是在将数据放入数据库之前先将数据匿名,我认为这是最安全和最低成本的。除此之外,我还能采取什么措施来减少黑客获取这些人数据的机会呢?
如果在存储数据之前对数据使用密集加密,那么输入和检索数据的人就需要有加密密钥,对吗?这是一个
浏览 2提问于2012-04-26得票数 0
因此,假设您希望将数据库外包给第三方,并能够在其服务器上查询数据库。
但是,您希望对其服务器上的用户的工资列进行“编码”,也就是对第三方隐藏真正的值,这样您仍然可以对其进行查询并解码结果。
例如,一种方法是将薪水从100到200映射到20到200-300映射到10。
这种方法的问题是,当我想要找一个薪水为230的人时,where子句将改为where salary=10,这可能映射到许多人,结果将是不正确的,或者salary>120在哪里变成salary=20或salary=10
所以基本上,我必须有一个一对一的映射函数,这个映射函数在服务器上仍然是可多维的,并且能够解码结果。
那么,您将
浏览 0提问于2018-12-31得票数 0
回答已采纳
2回答
我只是一个开发人员,他个人正在开发一些网站(在捐赠的基础上)一个便宜(但很好)的标准网站托管。我也在大学里学计算机科学,所以我确实很关心安全问题。
因此,我有一个网站,用户可以创建帐户,并将其存储在数据库中,我希望它尽可能安全地使用,而不需要在安全性上花钱。服务器只是在Apache服务器上运行PHP和MySQL数据库。
我知道我能做的实践:
使用复杂的数据库用户名和密码。
将密码与散列算法(最好是而不是 MD5)和salt结合起来存储。
同样不重要的是,使用复杂的FTP用户名和密码。
可能存在缺陷:
该数据库可以通过互联网“访问”,即www.host.tld/phpMy
浏览 2提问于2013-12-04得票数 2
回答已采纳
1回答
我目前正在开发一个商业Java应用程序,我正在尽我最大的努力保护它免受破解。
我有几个想法,我希望一个更有经验的人在这个领域可以帮助我清理他们。
我正在用服务器/客户端许可证系统来保护我的软件。
对许可证工作方式的简单解释:
用户在线购买该软件,并使用hist许可证哈希发送电子邮件。
用户下载该软件,并输入电子邮件中提供的许可证哈希。
软件在线检查之前是否使用了许可证,如果没有,请将其标记为已使用,并将用户的HardwareID链接到数据库中。下次用户登录时,服务器将他的HWID检查到所提供的许可证,如果没有有效将用户踢出软件。
成功身份验证后,软件从服务器下载和加载软件无法运
浏览 0提问于2017-04-09得票数 3
回答已采纳
我在stackexchange上读到了很多关于盐、盐以及放盐的确切位置的答案。对于哈希(如BCrypt ),从哈希中提取salt非常简单。所以,你把散列放在哪里并不重要。但是,我在这里假设会生成一个散列,比如hash(plain+salt)之类的。
大多数人建议,放置盐分的最佳方法是在另一列中或在密码哈希本身旁边。据我所知,这也很容易提高凭据验证的性能。此外,我假设服务器端确保使用不同的盐类来散列不同的密码。因此,在数据库泄漏的情况下,攻击者将不得不计算所有hash+salt的彩虹表,这很繁琐。
但是,我在考虑一个边缘案件。让我们假设攻击者对破解特定用户的密码特别感兴趣。攻击者转储数据库,获得
浏览 0提问于2019-02-22得票数 2
1回答
在编写了客户端(js)但其中存在诸如排行榜之类的多玩家元素的游戏中。将用户操作记录到带有时间戳的事务日志中以验证所提交数据的完整性的最佳方式是什么?您将如何验证此日志中的操作?
甚至有必要这样做吗?或者当涉及到这种作弊预防时,编写一个向服务器提交分数并混淆代码的散列函数就足够了吗?
编辑-游戏描述:
在这个游戏中,你走在一张50块长的地图上。在每个方块上,你都可以遇到敌人/城镇/事件(找到硬币等)每次到达地图的末尾时,加载新地图的难度会稍高一些。这个困难会随着玩家和他的物品一起被省去(使用MYSQL数据库上的PHP ),这些物品是从城镇购买的。这些物品有一个异能int,这取决于它们的属性(dm
浏览 32提问于2018-08-14得票数 1
2回答
昨天我问了一个关于安全散列的问题,这让我思考如何破解使用自定义散列算法创建的密码。我当前的(非常不安全的)密码脚本对密码使用sha1的迭代,然后对由其生成的散列进行迭代,并预先加上3位数的盐。
$hash = sha1($pass1);
//creates a 3 character sequence
function createSalt()
{
$string = md5(uniqid(rand(), true));
return substr($string, 0, 3);
}
$salt = createSalt();
$hash = sha1($salt . $
浏览 0提问于2011-06-14得票数 2
回答已采纳
4回答
假设您可以自由决定如何将散列密码存储在DBMS中。这样的计划有明显的弱点吗?
若要创建数据库管理系统中存储的哈希值,请采取以下步骤:
作为salt的一部分的DBMS服务器实例所特有的值,
用户名作为盐的第二部分,
并创建带有实际密码的salt连接,
使用SHA-256算法散列整个字符串,
并将结果存储在DBMS中。
这意味着,任何想要产生冲突的人都必须对每个用户名和每个DBMS服务器实例分别进行工作。我计划保持实际的哈希机制的灵活性,以允许使用新的标准哈希算法(),该算法仍在研究中。
“DBMS服务器实例所特有的值”不一定是秘密的--尽管它不会被随意泄露。这样做的目
浏览 2提问于2009-07-27得票数 39
回答已采纳
作为我的应用程序需求的标准,有几个场景我需要处理。
场景1:为了避免盗版,我想包括一些代码,它的工作是同时发送IMEI和IPhone的序列号。
场景2:在服务器端,我有一个数据库,其中包含IMEI和Serial的列表。在这里,我想验证IMEI和序列号。如果两者都不匹配,那么我可以确保应用程序是盗版的。
这个主意看上去不错。但我不知道如何在我的应用程序中处理这两个场景。
任何帮助都是非常感谢的。
浏览 3提问于2010-03-17得票数 0
考虑一个password_hash()的实现,其中的参数设置为1执行函数只需0.1秒-这不是由于运行时间长而使set服务器非常容易受到DoS攻击吗?
如果是,如何防止这种攻击?
浏览 0提问于2017-03-24得票数 0
2回答
和大多数程序员一样,我不是密码学方面的专家,但我了解基本知识。然而,正如中所指出的,一点点知识可能是一件危险的事情。考虑到这一点,我理解盐值的目的,但我需要一些帮助来理解如何使用盐值。
我在关于这个主题的其他文章中读到过,最好对每个密码使用一个随机的盐值进行加密。如果是这样的话,当我试图验证一个用户时,如何复制这个随机的盐值?在这个场景中,我将对用户提供的明文密码进行加密,对其进行加密,并将其与存储在数据库中的密码进行比较。创建密码时,我是否将随机盐值与加密密码一起存储在用户记录上?那么,如果黑客拥有完整的用户记录,那么盐值是否会变得无用呢?
浏览 4提问于2009-08-02得票数 3
回答已采纳
目前,我正在学习网络安全,并试图在我的下一个web应用程序中实现它。
我一直在读一些关于散列的文章,特别是SHA2和Blowfish。
在这文章中,建议在密码中添加硬编码的salt,这样检索数据库的攻击者就更难强行使用密码。这是有意义的,因为硬编码的salt不在数据库中,而且攻击者将无法访问它(只要它在服务器上运行,而不是在客户机上运行)。
但是,如果salt是硬编码的,这意味着对所有用户来说都是相同的,所以在攻击者破解数据库中的第一个密码并确定salt为"123“之后,他们可以在默认情况下将该salt应用于所有蛮力尝试。
我想到的这个问题的第一个解决方案是在将字符串传递给BCrypt
浏览 0提问于2022-10-17得票数 15
回答已采纳
2回答
我想知道服务器是否能破解密码?如果可以的话,我该如何保护自己不被发现?
我的朋友们让我在他们的账户上练习,但我不知道Facebook是否会把我的IP或其他东西列入黑名单。
浏览 0提问于2017-01-30得票数 -1
回答已采纳
我见过在某些情况下,开发人员使用来自config.php的加密密钥来散列密码并将其存储在数据库中。我在想,是这样做更好,还是通过每次创建一个随机盐(例如在函数中)更好?
好吧,我猜在第一种情况下,你不必在数据库中存储(和)盐,但它是否足够安全,如果有匹配的密码怎么办?
浏览 2提问于2013-06-02得票数 0
回答已采纳
在Minix3.2.1中,我希望在VFS服务器中创建一个新的系统调用,它将被赋予一个文件名作为参数,并将打印这个特定文件的inode号。
因此,为了检索文件的inode的名称,我想使用默认的系统调用:
int stat(char *name,struct stat *buffer)
在我的新系统调用处理程序的主体中,
int mycall_1(void);
内部`/usr/src/server/vfs/misc.c
但是,当我在应该调用stat系统调用的地方测试新的系统调用时,它实际上不会,而是打印消息:
sys_call: ipc掩码从1到1拒绝SENDREC
经过一些研究后,我发
浏览 6提问于2016-05-23得票数 2
回答已采纳
1回答
戴夫在这里,有个秘密储存计划。
威胁模型:
数据库和密钥文件可以(威尔?)存储在不受信任的服务器上。
数据库包含许多有价值的秘密(密码),由密钥存储在密钥文件中加密。
源代码是公开的。
Keyfile和数据库永远不应该存储在同一台服务器上,但始终需要从客户端访问。
范围外的威胁:
键盘记录器,恶意软件,胶管,巧克力
故障模式:
攻击者获取密钥文件和数据库的副本,并通过攻击密钥文件派生加密密钥。
防御:
密钥文件使用从密码派生的密钥加密。
原型系统采用bcrypt作为密钥派生函数。
随机选择高熵主密码(diceware).
密钥文件没有可见的签名/结构--某个碰巧在它上面的人将无法将它与随机噪声
浏览 0提问于2013-08-30得票数 1
回答已采纳
2回答
最有效的防破解方法
、、、、
由于破解是一个巨大的问题,我想深入到阻止这些盗版(我甚至不想提及Cydia主题,我已经记录了超过98%的破解率在我的主题都在1美元以下!)。关于如何检测破解的应用程序,有几种方法,但我想知道,哪种方法是最安全、最好的,也是最难破解的?下面是我看过的一些方法:
浏览 5提问于2011-08-15得票数 3
回答已采纳
3回答
我正在开发一个游戏,我想包括一些在应用程序购买。
我决定将购买的商品存储在数据库中,并向其中添加一些检查。然而,仍然有一个问题:难道不可以简单地反汇编应用程序,交换响应代码(例如。USER_CANCELED : OK)那么,每次我打开对话框并中止,我的游戏就会认为我买了这个东西?
到目前为止,我确实在我的应用程序上尝试过,但是由于我缺乏使用baksmali的经验,我没有为我自己工作。在理论上,(很容易)是可能的吗?如果是,你在smali中到底有什么需要改变的,有什么对策?
谢谢!
浏览 4提问于2011-11-03得票数 1
我需要在每个用户的基础上加密我的web应用程序中的内容。
我,根用户,不想访问用户的内容,句号。
我如何才能让用户成为唯一有权访问其内容的人?也许我可以让他们的登录密码的散列用作加密和解密密钥(然后他们的密码被单向散列存储在我的数据库中,加密/解密散列是从他们登录时的原始密码生成的,并存储在本地cookie中)?但如果他们更改了密码呢?然后我必须更新他们的所有内容,这可能需要大量的处理能力。
有没有一种加密方法可以提供这种功能,而不需要在密码更改时重新加密他们的内容?也许是类似于Linux上的ecryptfs的东西?研究ecryptfs是一个好的开始吗?
让它只允许用户访问我的服务器上的内容(
浏览 2提问于2011-10-08得票数 10
回答已采纳
1回答
我正面临这样一种情况:我要在客户端的服务器上安装一个PostgreSQL应用程序(Java8 + Spring MVC + Spring JDBC)和数据库(Web9.5)。
我需要管理客户端许可证到期的日期和服务器没有访问互联网,所以我需要找到一些方法来存储到de DB的日期,但没有机会让客户端更改它(他们有管理特权的应用程序和数据库)。
非常提前感谢您。
浏览 0提问于2017-10-27得票数 0
1回答
当用户登录时,我将令牌(散列密码)保存到服务器上的用户文件夹中,并将令牌发送到保存在localStorage中的应用程序。
我需要检查用户的登录令牌在向服务器发出的每个请求时是否有效。它是通过AJAX使用setTimeout请求的,所以下一个请求只有在之前的调用完成(每15秒一次)的情况下才会发出。
目前,我有一个验证令牌I的函数,即检查应用程序中的令牌是否等于服务器上的令牌:
下面是函数verifyToken
function verifyToken() {
if ( empty( $_REQUEST['token'] )
|| empty($_REQUEST[&
浏览 0提问于2022-04-13得票数 0
回答已采纳
1回答
我希望从外部访问公司的sql server数据库。我目前可以通过使用远程桌面连接来访问数据库,但对于在我的计算机上运行的某些数据库工具来说,这是不够的。
在我启用对sql服务器的外部访问之前...()
有没有我应该注意的安全隐患?服务器有多个用户,我可以仔细检查,以确保所有用户都有强大的密码保护。除此之外,有没有我不知道的风险?为什么不允许外部访问sql服务器有什么特殊的原因吗?
谢谢
浏览 7提问于2012-07-23得票数 4
回答已采纳
所有AIR安装文件都必须经过数字签名()。有没有办法让AIR应用程序在运行时访问此签名信息?
比方说,我正在分发一个客户端-服务器应用程序的客户端组件,这个客户端组件是使用AIR实现的,我想阻止*修改后的客户端副本访问服务器。然后我可以通过让服务器检查客户端的数字签名来做到这一点。
(当然,这并不能提供完整的保证,因为总是可以重新实现客户机-服务器协议,但让我们考虑最简单的情况)
浏览 2提问于2009-11-21得票数 0
4回答
我正在用access 2000数据库开发windows应用程序。由于我一直处于开发阶段,所以我对数据库安全的知识知之甚少。现在,是我学习它的时候了,我遇到了困难。
数据库位于我们的网络服务器上的一个公共共享位置。我想知道如何保护数据库,使任何人都不能从该位置打开,仍然能够通过windows应用程序读写数据。
浏览 4提问于2011-03-16得票数 1
我有一个需要与mysql数据库通信的多用户iOS应用程序。我使用php提交查询,并以json格式返回信息。我是否需要在iOS和服务器端对密码进行哈希处理?通过https发送就足够安全了吗?
浏览 0提问于2014-11-26得票数 0
3回答
我收到了我订阅的论坛的以下电子邮件:
我们有责任通知您,Doom10所在的服务器出现了安全漏洞。这看起来不像是那个人(S)是在私人信息(主要是垃圾邮件添加到谷歌爬虫显示的页面)之后进行的,但和往常一样,人们应该总是期待最坏的结果。他们可以访问文件系统,因此可以访问包含用户信息的数据库(用户名/哈希密码/电子邮件)。密码在数据库中被散列和咸化,但我们仍然敦促那些重用了密码的用户在其他服务上更改密码;如果您希望继续使用Doom10论坛,那么您也应该在本地更改密码。您可以在:http://doom10.org/index.php?topic=2333.0上找到有关入侵的更多信息,我们对您为此可能遇到
浏览 0提问于2012-07-25得票数 3
回答已采纳
使用SerialNumberTemplate属性定义密钥模式时,如何保护windows桌面应用程序不被安装在不同的计算机上?如何仅为一个用户绑定特定的密钥,以便他只能使用一次,即只使用一次设置。
浏览 1提问于2013-08-27得票数 0
回答已采纳
我正在安装一个应用程序,它使用MySql 5.6数据库和Tomcat作为web服务器。安装成功后,默认情况下找到了两个用户(admin和ascuser)。首先,我用管理员用户登录(到GUI),并给出(预定义的)密码.然后提示更改管理员密码,这很好。后来,不幸的是,我丢失了管理员密码。然后我无法登录到GUI。在GUI中没有重置管理密码的选项。没有提供任何关于提升者的信息。我以root用户的身份登录到mysql。密码是散列的。以下是几个问题。请有人建议如何更改/重置管理员用户的密码吗?除了现有的用户之外,我不想创建任何其他用户。
FYI:以下是几项产出:
Mysql查询输出
用户数据库
浏览 2提问于2017-01-17得票数 0
是否可以过滤在Server 2008 R2数据库的标准事务复制中发布的列的数据内容?
如果我过滤列本身,它们就会完全消失在订阅服务器表中。我希望这些列存在,但不管发布服务器端的列中是否有数据,都是空的。
提前谢谢。
浏览 2提问于2013-12-04得票数 1
回答已采纳
2回答
让我们假设我正在开发一个基于订阅的桌面游戏:玩家支付一定的费用,以便在一定时间内访问游戏的某些级别。例如,玩家需要支付1美元才能进入游戏的一个特殊级别,为期一个月。
每次游戏加载时,它都会向后端API发送请求,以检查玩家可以访问哪些级别,然后为玩家启用相应的级别。然而,玩家可以使用MITM (中间人)攻击来拦截和修改服务器响应,从而告诉游戏玩家可以访问游戏的每个级别。
在这种情况下,应该如何实现授权过程,以避免玩家未经授权访问级别?
让我们假设两种不同场景的玩家配置文件:
场景1:玩家可以嗅探网络。
场景2:玩家可以嗅探网络,并且可以访问游戏的源代码(而不是服务器)。
浏览 0提问于2018-10-07得票数 2
回答已采纳
有些页面有这样的javascript:
<script language="javascript">
if (top.location != location)
top.location.href = self.location;
</script>
如果我有一个带有框架的网页,链接到这些页面,当它们加载时,浏览器的url将被更改为它们的urls。我不想要这个,我能做什么?
浏览 0提问于2010-07-08得票数 0
回答已采纳
4回答
我在研究一个认证系统。现在,在这个系统中,用户登录并向服务器发送散列密码。这足够了吗?还是我必须重新破解密码?
所以基本上这个密码是=>散列=>网络=>散列=>数据库
那么密码=>哈希=>网络=>数据库更安全吗?或者哈希已经散列的密码是浪费时间和空间?
还是应该是密码=>网络=>哈希=>数据库?
作为一种额外的好处,未来可能的扩展是让用户登录到远程服务器上,在远程服务器上必须保存和使用信用,以便将来与服务器进行交互,从而产生这样的结果?
密码=>网络=> database1= >网络=> database2
这
浏览 0提问于2015-08-11得票数 2
很长一段时间以来,我一直在寻找相关的答案,但还没有被说服。
我正在尝试使用RijndaelManaged进行加密。为了创建密钥,我将密码、盐和迭代传递给Rfc2898DeriveBytes。
我在想,如果用户输入的密码在传递给Rfc2898DeriveBytes之前低于特定长度,则添加常量。
到目前为止,我发现添加常量并不会给安全性带来任何好处。假设攻击者可以访问包含加密数据和salt数据库,但不能访问constant,这会给他带来一些困难。尽管最终他会找到那个常数。
或者,将任意长度的密码传递给Rfc2898DeriveBytes而不用担心是“真的和极其”安全的吗?
传递较短或较长密码是否会
浏览 0提问于2014-03-01得票数 0
谷歌搜索显示,密码破解器可以快速尝试数百万种组合,并且很容易破解许多密码。
我的研究并没有显示他们是否能够在现实世界的攻击中如此迅速地做出如此多的尝试。这些密码破解者实际上是如何与服务器接口的?他们是否以自动化的方式填写表格?当我提交密码IRL时,需要几秒钟的时间才能得到响应。这将把密码破解所需的时间乘以一个很大的因子!这应该提供了大量的保护,以防止这些密码破解!
密码破解者是否在许多机器中分发密码尝试,以便他们可以同时尝试?对于网站服务器来说,这难道不是一种自动攻击吗?是否有更快的方法可以让破解者进行多次尝试(为什么服务器会允许它)?
浏览 6提问于2019-02-17得票数 2
回答已采纳
5回答
我理解散列和加盐的必要性,但我不明白如何将盐存储在与整个散列相同的(可能受到威胁的)数据库中是安全的。例如,我正在研究的一本书指导通过随机生成一个整数并使用RNGCryptoServiceProvider创建一个byte[],为每个用户(好)创建一个唯一的散列。这很好,但是为了在登录时验证用户密码,需要从数据库(或其他文件)中读取唯一的salt。这是一种安全的储存盐的方式吗?
浏览 0提问于2013-04-01得票数 5
回答已采纳
我是一名大学生,我现在才达到我的学位的一部分,我们的重点是安全。在如何保护我们的数据库和用户细节方面,我们的任务非常广泛。它只说“你需要以散列的形式存储用户的密码。”
现在我想知道是否应该执行散列客户端(JS),然后将散列数据发送到要存储在数据库中的服务器,还是在存储之前以纯文本的形式向服务器发送密码,并对数据服务器端(PHP)进行散列。对于这两种情况,我都使用HTTP请求。(我的印象是,如果使用POST请求,用户/攻击者无法访问发送到服务器的参数。是这样吗?)
另外,在我的情况下,什么是好的散列算法?
浏览 0提问于2018-05-06得票数 -1
回答已采纳
我的问题是,如果攻击者从网络获取加密的数据包并代表他/她将其发送到服务器,会发生什么情况。服务器将如何识别它不是合法用户。在使用cookie的HTTP中,我们可以获得用户的身份,否则,HTTP是无状态协议,那么HTTPS是如何使其有状态的?
浏览 0提问于2017-02-14得票数 1
1回答
散列密码导致FTP上传问题
、、、、
我有一个Android应用程序,它将数据上传到FTP(S)服务器。在我破解密码之前一切正常。奇怪的是,登录/上传和断开到服务器的连接似乎有效,但我的FTP没有显示新的数据。
下面是我填写密码的代码:
MessageDigest sha;
try {
sha = MessageDigest.getInstance("SHA-1");
byte[] hashOne = sha.digest(etPassword.getText().toString().getBytes());
server.setPassword(hexEn
浏览 3提问于2014-04-11得票数 0
6回答
我真的很难过,因为几天前我们推出了我们用.Net 4.0 (桌面应用程序)开发的软件。3天后,它的破解就在互联网上出现了。我们试图保护软件不受此影响,但不知何故人们成功地破解了它。
场景是这样的:当应用程序第一次启动时,它与web服务器通信并检查用户传递的凭据。如果凭据正确,软件会将这些值保存在注册表中,将MachineID发送回服务器并将其存储在数据库中。
现在,黑客已经用"return true;“语句替换了服务器通信(我用Telrik JustDecompile检查了这一点)。他已经把破解的软件上传到互联网上了。
现在,以下是我的问题:
1-如何确保.Net应用不会被破解?
2-
浏览 1提问于2012-07-30得票数 16
回答已采纳
3回答
我应该如何存储密码盐?
、、、
在PHP中,我使用hmac函数和sha256算法对密码进行编码。我不确定的是如何正确地储存盐。
散列密码的全部目的是为了防止黑客访问数据库。如果我将盐存储在db中与散列密码相同的行中,这不就像是将“密码”交给了黑客吗?我正在挂一扇带锁的门,然后把钥匙交给入侵者。
有人能向我解释一下他们是如何储存盐的吗?
浏览 4提问于2012-03-28得票数 11
回答已采纳
4回答
我们有一个用Java编写的web应用程序,并将数据存储到PostgreSQL数据库中。
我们想要加密数据库中的一些字段,以及一些上传的文档。然而,这些都需要双向加密(即我们需要能够解密它们),并且解密需要相当快。
然而,我们不能想出一种“安全”的方法来实际加密/解密数据。因为这是一个web应用程序,并且没有客户端,所以所有的加密密钥都将存储在web服务器(明文或我们的实际代码)或数据库服务器上。
有没有其他关于如何至少适度地实现这个的想法...安全吗?
浏览 0提问于2010-07-15得票数 1
回答已采纳
据我所知,Digest身份验证(这是一种单向操作)散列密码,并将散列数据传输到服务器。然后,服务器将使用存储的密码,对其进行散列,并与接收到的哈希密码进行比较。应该是不受中间人攻击的。
我不明白的是,如果我是中间人黑客,我不需要原始密码。那么,只需使用哈希密码,因为这是一个服务器将比较。
那么,这个Digest身份验证机制有什么用处呢?从总体上看似乎不起作用。
浏览 1提问于2013-09-01得票数 7
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
