当他们试图访问我的when服务器上的.env文件时,他们在寻找什么漏洞?
当他们试图访问我的Web服务器上的.env文件时,他们可能在寻找以下漏洞:
- 目录遍历漏洞:攻击者可能尝试通过构造特殊的URL路径来访问服务器上的敏感文件,如.env文件。这可能是由于服务器配置不当或应用程序代码中的安全漏洞导致的。
- 文件权限配置错误:如果服务器上的.env文件的权限设置不正确,攻击者可能能够直接访问该文件。应该确保只有授权的用户或进程可以读取.env文件。
- Web应用程序漏洞:如果Web应用程序存在安全漏洞,攻击者可能能够通过利用这些漏洞来获取服务器上的敏感文件,包括.env文件。常见的漏洞包括SQL注入、远程代码执行等。
为了保护服务器上的.env文件和其他敏感文件,可以采取以下措施:
- 安全配置服务器:确保服务器的操作系统、Web服务器和应用程序都按照最佳实践进行安全配置,包括限制文件访问权限、禁用目录遍历等。
- 输入验证和过滤:在Web应用程序中实施严格的输入验证和过滤,以防止攻击者利用输入漏洞进行文件访问。
- 文件权限管理:确保服务器上的敏感文件(如.env文件)的权限设置正确,只有授权的用户或进程可以读取。
- 安全更新和漏洞修复:及时应用操作系统、Web服务器和应用程序的安全更新和补丁,以修复已知的漏洞。
- 安全监控和日志记录:实施安全监控和日志记录机制,及时检测和响应任何异常访问尝试,并记录相关日志以进行后续分析和调查。
腾讯云相关产品和产品介绍链接地址:
- 腾讯云安全产品:https://cloud.tencent.com/product/security
- 腾讯云Web应用防火墙(WAF):https://cloud.tencent.com/product/waf
- 腾讯云云服务器(CVM):https://cloud.tencent.com/product/cvm
- 腾讯云安全运营中心:https://cloud.tencent.com/product/ssoc
相关·内容
访问我在Jenkinsfile ( Groovy )中定义的环境变量时遇到了问题。我的情况是,我可以在powershell‘之外的任何步骤中访问该变量,但当我试图在powershell中访问它时,它会给出空值。 pipeline {
environment {
APP_BUILD = ''
BUILD_NUM = ''
APP_NAME = ''
}
agent {
label 'test'
}
stages {
浏览 7提问于2020-04-22得票数 1
回答已采纳
1回答
我用Xampp构建了一个主服务器。当使用NAT路由本地ip地址时,有虚拟服务器和DNZ。如果我只使用完整的虚拟服务器(我的http端口不是opens.if ),那么我可以从internet.But访问我的服务器,应该打开所有这些吗?他们会造成安全问题吗?我该如何解决这个问题?
浏览 0提问于2010-09-02得票数 -1
1回答
一个朋友在问我关于mod_proxy模块的事,
他们有一个最近被mod_proxy攻击的服务器,在检查了他的日志之后,他说他不会受到那些攻击,因为他们有一个更新的版本.
因此,为了避免进一步的攻击,他询问服务器上是否需要这些模块:
mod_proxy.so
mod_proxy_connect.so
mod_proxy_ftp.so
mod_proxy_http.so
mod_proxy_ajp.so
mod_proxy_balancer.so
或者他可以安全地移除它们..。
谢谢!
浏览 0提问于2011-08-18得票数 0
回答已采纳
我们有一些web服务,以及保护对它们的访问的OAuth2服务器。
我希望我们的外部客户能够在他们的移动应用程序中使用这些web服务。但在某些情况下,他们希望维护自己的登录/密码数据库,而不要求用户单独对我们的web服务进行身份验证。在这种情况下,客户端为我们的用户提供了与他们自己的用户对应的标识符(我们在OAuth进程之外同步这些标识符)。
因此,假设用户已经在客户端建立了会话,我希望能够给他们某种访问令牌,使他们能够访问我们这边的相应用户,而无需提示他们输入单独的密码。我该怎么做?
一种方法是要求客户端为我们的web服务设置一个代理,由他们自己的会话保护。他们的移动应用程序将向代理服务器发送
浏览 0提问于2019-02-14得票数 0
回答已采纳
我有一项任务要在VPS上安装一个MailHog脚本,但是他们也问我关于这个脚本的安全性问题,但是我没有安全方面的经验。
这是脚本github帐户:
另外,我在github.com上检查了他们的安全页面,但是没有安全问题:
浏览 1提问于2021-10-16得票数 0
回答已采纳
我是保安新手。我正在我的站点上实现oauth,我想问我应该在哪里保存我的访问令牌:
曲奇饼
会话(将通过ajax请求从服务器获取)
我有后端(restful)和前端(SPA)。只是他们之间的交流。
顺便问一下,oauth的推荐过期时间是什么?
浏览 0提问于2014-02-05得票数 9
1回答
2FA键可以复制吗?
、、、、
我想在网上订购一个2FA键(像yubikey),我想知道是否有人可以复制我在发货期间订购的任何密钥。我不想讨论是否有人能访问我的包裹。我想知道,如果有人能够访问我的包裹在运输期间,甚至在我得到它,他们能复制我的钥匙吗?
如果他们可以,他们也有我的密码,这意味着他们也可以访问我的帐户(Gmail)后,我设置了2FA身份验证对吗?把我锁在账户外怎么样?
您能告诉我什么密钥可以兼容多个在线帐户,最好也可以在Linux (Ubuntu)上脱机使用?
浏览 0提问于2019-07-10得票数 1
2回答
在SQL Server上添加服务器级登录的<domain>\Domain Users,但不授予他们对任何对象的权限,这是有害的吗?我只是想更多地了解SQL Server上的安全性是如何工作的,所以请不要问我为什么要这样做。
提前谢谢。
浏览 5提问于2015-04-03得票数 2
1回答
恶意软件扫描网站代码?
、、、、
我有多个使用工具扫描的Linux CentOS服务器,当它在我的服务器上发现一些恶意代码(共享/专用)时,这些站点的排名就会下降。
我正在寻找的是一个服务器扫描仪,扫描.php,.js文件和类似的恶意软件代码,这样我就可以在谷歌降低该网站排名之前做出反应。
我已经找到了一个php恶意软件扫描仪(nbs-system/ PHP -恶意软件-查找器:检测潜在的恶意PHP文件),还在努力使它工作,但我想找到一个更完整的解决方案,以提高我的服务器的安全性。
有服务器/网站特定的恶意软件扫描器吗?
注意:不是寻找成熟的杀毒产品,而是寻找一种,最好是开源的,扫描网页代码的恶意软件扫描仪,而不是.exe,.
浏览 0提问于2016-05-17得票数 6
回答已采纳
我正在准备运行我的第一个服务器。
我将使用ufw禁用除ssh的端口22和http的端口80之外的每个端口。
不过,我很好奇。假设理论上,除了ssh端口和ftp端口之外,每个端口都是开放的。没有ssh和ftp,还有其他服务或协议可以让黑客访问我的服务器吗?还假设罪犯没有直接的物理访问我的服务器。
浏览 0提问于2014-11-23得票数 4
我试图只允许访问我们公开的面向API的单个页面应用程序。我们目前使用OAuth 2.0来控制对API的访问。高层次的场景是,我们的用户将访问我们公开可用的SPA,提供他们的用户名和密码,然后能够使用SPA,而SPA反过来又能够使用我们的API。
SPA的OAuth 2.0当前的最佳实践是对客户端id使用授权代码授予,但不使用客户端机密,因为SPA显然不能保存任何机密。
我的问题是如何防止第三方SPA访问我们的API。也就是说,他们可以从我们的SPA中提取现有的client_id,并以与我们的第一方SPA相同的方式请求授权代码。假设他们能说服用户登录,他们就可以访问我们的API。在这种情况下,预
浏览 0提问于2019-05-10得票数 1
24小时后,广泛释放的漏洞,Rackspace是沉默的幽灵和熔毁。他们没有修补所有Xen管理程序的计划。他们所有较新的平台服务器都是HVM服务器,易受攻击。旧的PV服务器不会受到攻击。
我已经更新了我的HVM来宾的Linux内核,但是Rackspace没有更新他们的任何管理程序。更新未修补的虚拟机管理程序上的来宾内核会防止“坏蛋”VM访问我修补好的主机泄漏的内存吗?
浏览 0提问于2018-01-04得票数 12
回答已采纳
如果你不耐烦的话,一些context...skip会问你的问题.
我试图限制访问我的(未来)网站上的四页的有效用户名和密码对的用户。为此,我有一个简单的PHP / form...in --我的PHP/HTML表单--用户名和密码中的客户端类型,点击‘submit’.数据发送到POST,另一个PHP脚本通过在我的mySQL数据库中使用SELECT来验证用户/passwd对.
用户密码表: uid (主键,INT),用户名(varchar 32),密码(char 128)
如果匹配有效,那么它将查找access表,以查看该特定用户名可以访问哪个页面(1用于访问,0用于无访问):
用户访问表: ui
浏览 1提问于2012-03-02得票数 1
1回答
最近我注意到了一些奇怪的事情。在我的网站上的每个公共JavaScript文件中,在每个文件的末尾都添加了重定向脚本。
我可以访问access.logs之类的东西。
如何定位槽?人们插入这些东西的方法是什么?
他们是如何访问我所有JavaScript文件的写权限的?
浏览 7提问于2012-04-08得票数 4
回答已采纳
1回答
通过http post发送bcrypt加密的用户名和密码安全吗?我基本上只想为我的朋友设置一个用户名和密码加密的服务器,这样他们就可以访问我服务器上的东西了。
浏览 3提问于2014-05-14得票数 0
1回答
我正在浏览服务器日志,下面的内容让我大吃一惊:
ACCESS ERROR 404 from IP 62.112.152.161:
Path: /index.php?page=weblog&env=../../../../../../../../etc/passwd%00
ACCESS ERROR 404 from IP 62.112.152.161:
Path: /download.php?dlfilename=../../../../../../../../etc/passwd%00
ACCESS ERROR 404 from IP 62.112.152.161:
浏览 0提问于2014-03-04得票数 2
回答已采纳
直到几天前,我的Sinatra应用程序还在Dreamhost上运行得很好(我不确定它到底是什么时候出问题的)。现在,当我访问我的应用程序时,我得到了这个错误:
can't activate rack (~> 1.1, runtime) for ["sinatra-1.1.2"], already activated rack-1.2.1 for []
我不知道该怎么解决这个问题。我试着更新我所有的gem,然后接触app/tmp/restart.txt文件,但仍然没有修复。
我没有碰过我的应用程序的任何文件,也没有碰过我的Dreamhost账户。它自己就崩溃了(我猜
浏览 0提问于2010-12-27得票数 1
回答已采纳
我已经在我的Ubuntu服务器上安装了Apache2,它运行不同域的虚拟主机,IP地址类似于“xxx.xxx”。当客户通过我的IP“xxx.xxx”浏览我的网页时,我如何强制他们到达目标页面,甚至阻止他们访问我的when服务器?(即,我不希望他们只使用IP而不是我的域来访问我的服务器。)
浏览 3提问于2016-08-10得票数 0
我把我的移动数据借给了别人的电脑,他们使用的时候我不在房间里。
假设他们想要控制/访问我的android设备。会有多容易呢?据我所知,恶意软件主要通过安装恶意apk来感染android手机。与我共享网络的计算机的所有者是否有可能以某种方式远程访问我的设备?
我的android设备是最新的,没有根植。
浏览 0提问于2022-01-31得票数 0
目前,我阻止了通过htaccess访问我的wp,并且使用functions.php创建了一个函数,以防止在用户是Admin的情况下访问管理面板。
如果有人知道管理帐户的用户名和密码,是否可以更改我的网站外观以及删除帖子/评论等?
如果可能的话,他们怎么可能呢?
浏览 0提问于2018-10-18得票数 0
回答已采纳
2回答
我刚刚偶然发现了一个易受SQL错误注入攻击的网站( )。
这让我很好奇在某些网站上尝试了什么以及攻击尝试的频率。
所以我在想,如果在我的服务器上设置一个蜜罐,看看“黑客”是否/多久/使用什么技术来访问我的SQL数据,那将是很酷的。
我可以想到一些基本的东西来吸引他们,比如:
/login.php / asp url
/adminlogin.php / asp url
一个搜索表
?id=111 url
在尝试注入一些SQL时出现一些假SQL错误。
有没有人有更多/更好的建议/想法/任何东西来设置SQL注入的蜜罐?
浏览 1提问于2011-05-31得票数 1
回答已采纳
出于好奇,我没有IoT设备,但将进行安全测试;我构建了Nodemcu esp8266服务器。它显示了一个HTML页面(例如,在移动电话上),它允许控制相机模块和A/C继电器并与之交互。例如,我可以显示相机拍摄的图像,我甚至认为它内置了一些图像识别,我可以打开或关闭一个电流继电器(110/220 v A/C电源)。
在我开始五分钟之前,我想,我最好开始思考,一个人能发现和发现哪些类型的漏洞?哪一个邪恶的功绩我可以找到,或者更确切地说,应该能够找到一个适当的五倍的锻炼?(如果我找不到有用的东西,我对物联网中的五极线的方法可能是错误的)
我认为这可能是一个完全没有意义的练习,因为esp8266 ww
浏览 9提问于2021-04-07得票数 0
回答已采纳
我想知道所有访问我服务器的人,是否有日志显示人们何时以及如何访问我的服务器?
-编辑--
很抱歉之前没有提供更多的细节。我的服务器是在Linode中运行的Ubuntu10.04LTS。我听到了很多骇人听闻的故事,黑客想要黑一台服务器,所以我想知道那些日志会告诉我是谁通过ssh访问了我的服务器,或者任何可能让我的服务器陷入危险的东西。
我已经在我的服务器上安装了灯栈。我只安装了这些。
浏览 0提问于2011-05-21得票数 7
回答已采纳
我知道这个问题已经问了很久了。
但我还是不太清楚。
为什么我不清楚?
人们有时建议,在物理硬件上设置一个DC更好。(甚至微软也这么说)。此外,还计划将Exchange和其他关键公司数据放在不同VM上的同一台物理机器上。我听说人们仍然可以突破客人系统,把每台虚拟机都搞清楚,是真的吗?
那么,虚拟化所有域控制器好吗?
编辑:试着让我的问题更多的主题。
关于我和我的处境
目前,我是一个初级开发人员,并试图学习更多关于系统管理的lil,所以我帮助小公司在我的空闲时间。我试图帮助他们的基础设施,如规划,管理和设置新的服务器/硬件。
我的一家公司问我是否有可能虚拟化域控制器。
设置
它们当前的设置是
浏览 0提问于2013-08-22得票数 4
回答已采纳
1回答
像Mcafee这样的监控服务实际上提供了什么?这大约是每年1000美元,我试图判断他们到底做了什么,因为他们的好处和技术页面可能是几乎任何软件的销售页面,就像服务一样。
https://www.mcafeesecure.com/us/products/mcafee_secure.jsp?tab=3
我的意思是,他们是否可能有任何信息,而一个像样的服务器管理员无法免费获得?或者他们只是周期性地敲击您的服务器以查看返回了哪些标头,执行一些XSS注入测试等等?
我正在运行Ubuntu10.10,如果有自我监控服务,我可以安装并获得有关安全数据/更新的电子邮件警报,这将是首选。
谢谢!
浏览 0提问于2011-09-23得票数 4
我们公司临时处理CC信息。任何持卡人数据都不会记录在我们的任何数据库中,我们也不允许公众访问我们的任何数据库或业务应用服务器。
尽管如此,我们每个月都要收取PCI不符合规定的费用.因此,当我提出这个问题时,我们的会计部门联系了服务提供商,他们告诉我们,我们需要允许他们进行安全扫描。
那么,这个“扫描”测试是为了什么?除了不回答的“顺从,傻瓜”
浏览 0提问于2016-02-12得票数 0
我正在使用Feed Dialog请求我的用户在他们或他们朋友的墙上发帖。
我想用换行符(提要对话框中'description‘字段的值)格式化帖子的内容。
我在facebook论坛上试了试,但在那里找不到任何决定性的答案。
你有没有尝试过在用户提要对话框中添加换行线/格式化文本的清晰方法?
我在一些论坛上看到,在需要换行符的地方添加'<center></center>'。但我不认为这是合适的解决方案,因为FB日夜都在改变他们的功能,我不想给我的用户带来不同的体验。
我在寻找一个完整的解决方案!
浏览 2提问于2011-12-30得票数 1
回答已采纳
在我的nginx日志中,我收到了很多来自寻找/.env文件的IP地址的404。我猜他们是在寻找某种漏洞。我只是想知道这个漏洞是什么。为什么这么多人希望在我的Why服务器上找到/.env文件? 下面是我的日志文件中的一个示例: 20.51.221.198 - - [20/Nov/2021:17:37:59 +0000] "GET /.env HTTP/1.1" 404 134 "-" "Anarchy99"
浏览 56提问于2021-11-20得票数 1
我正在开发一个帮助教授编程的工具,在某个时刻,我让客户将javascript作为字符串发送到服务器。我总是会从它们的代码中调用函数A和B,但我不确定如何限制它们的访问?
我现在要做的是:
eval(code);
userFunctionA = eval("getA");
userFunctionB = eval("getB");
var result = userFunctionA(param1, param2);
通过使用eval,他们可以访问我所有的全局变量和其他函数,我该如何限制他们的访问呢?
下面是我找到的最好的参考资料,但他们非常关心“窗口”,而且因
浏览 2提问于2017-03-03得票数 1
回答已采纳
2回答
除了使用浏览器头,我想从我的网站黑名单/白名单浏览器和插件,以便我可以防止这些旧的未修补的系统(1)作为我的网站的一般用户(2)删除那些‘目标’的潜在攻击者。
我的目标是为访问我的站点但不直接管理环境的用户定义某种端点安全标准,因为他们是客户。
是否有标准的方法使用白名单或黑名单来控制浏览器访问我的网站?
例如,我想防止任何浏览器已经过时的Flash,但我想允许他们,如果他们根本没有闪存。
浏览 0提问于2011-02-06得票数 2
回答已采纳
这很平常吗?这些机器人每15分钟就会访问我的网站,他们是我唯一的访客,因为我还没有和任何人分享过这个网站.他们怎么知道我的网站的?
这样做的目的是什么,他们是想从我的网页上刮掉信息还是别的什么?这是隐私问题吗?
浏览 0提问于2020-10-30得票数 1
3回答
我不得不在相对较短的时间内对我的网络进行多次更改,因此为了节省时间,我决定使用Ansible。
我在多个环境中有多个类型的服务器,所以需要在每个环境和每种类型的服务器上迭代,并设置新的IP、子网等。
例如,在ENV1中,我可能有Web&DB,例如,192.168.64使用了ENV1,而Web是.10,DB是.20。
因此,使用Ansible和定义两个列表并在嵌套循环中使用这些列表,我希望能够根据服务器的环境和类型来完成这些工作。
我可以使用一个命令行变量并为每个子网设置环境子网,但是如果我能够避免这种情况,我想要这样做。
剧本。
---
- hosts: web:db
become
浏览 1提问于2019-05-14得票数 0
1回答
在问我的问题之前,我先从一些背景资料开始。
网络设置:
5站点MPLS w/云防火墙。SSLVPN客户端连接到云防火墙,并通过LDAP根据我们的PDC对用户进行身份验证,并为其提供了一个可在MPLS上路由的IP。
设备位置:
虚拟服务器2003 SE作为PDC @site1 1
Virtualized 2012作为DC从服务器@site5 5
虚拟服务器2003 SE作为文件服务器@site5 5
XP Pro客户端使用SSLVPN从家中连接到MPLS。
设想情况:
最近,一名雇员开始在家工作。她已经把她的公司所有的域名连接笔记本电脑带回家工作,通过我们的SSLVPN连接。用户可
浏览 0提问于2014-04-03得票数 1
回答已采纳
LastPass广告说在他们的网站上传输和存储密码之前,他们会对密码进行本地加密。然而,当我用我过去的密码登录时,我可以用明文访问我的所有密码。这不意味着他们也可以访问我所有的密码吗?如何验证他们没有访问我的密码?
浏览 0提问于2011-01-16得票数 15
回答已采纳
2回答
我的后端托管在运行rails上的ruby的AWS-EC2上。我的前端是托管在aws-s3使用角-js。我的数据库是MongoDB。
所有API都有一个用于用户安全的身份验证令牌。每个服务器都启用了云前端aws的https。我的后端只有80/443端口被打开,22端口用于我的私有IP。我的客户问我这个物联网系统的安全特性。为了使系统免受外部威胁,我需要记住哪些习惯?
外部威胁包括有人侵入我数据库上的数据?有人使用网络钓鱼窃取用户帐户详细信息/凭据?DNS欺骗?
P.S.:我使用CloudFront作为SSL证书,他们使用https路由我的数据,将所有连接从HTTP转换为https。我的所有堆栈都
浏览 0提问于2017-10-25得票数 1
我有一个本地脚本,我希望使用本地python安装在远程服务器上运行该脚本。我需要这样做,因为我安装了特定的包,但无法在远程服务器上安装这些包。 我尝试了我找到的两个解决方案,但都不起作用。 ssh user@remote python -u < script.py 和 cat script.py | ssh user@remote python - 以上两项都为我提供了一个模块的ImportError,该模块只安装在我的本地计算机上。我绝对有权使用他们的安装在服务器上运行代码,但我自己不能安装任何东西。 我试图克隆服务器的python,但得到了这个错误: user@server:~$
浏览 23提问于2019-04-15得票数 1
1回答
我在Cloudwatch上有一堆来自ALB的奇怪日志,看起来像这样。
2020-11-03T14:52:57.289+09:00 Not Found: /owa/auth/logon.aspx
2020-11-03T15:23:20.120+09:00 Not Found: /.env
2020-11-03T15:35:39.482+09:00 Not Found: /index.php
我使用cloudwatch记录服务器数据,所以这真的让我很困扰。我想知道如何阻止他们。
浏览 1提问于2020-11-03得票数 0
回答已采纳
本地主机。
IE10 / Firefox 24
我正在测试我的应用程序中的一些缓存选项,并希望在工作离线模式下设置Internet和Firefox。对于缓存的页面,浏览器可以正常工作,但是每当访问未缓存的资源时,它们就会立即连接和下载。我正在寻找和搜索,但无法找到一个方法来禁用这种自动上线行为。
是否有一种方法可以永久地将浏览器设置为脱机模式而不是自动连接?我只想让他们在浏览器缓存中找不到东西的时候显示“找不到”的消息。
更新
火狐似乎更好一些。在浏览www内容时,它将坚持脱机模式(它不会加载页面),但始终会加载本地服务器内容。
IE10总是重新连接,无论是本地的还是www的。
在localh
浏览 1提问于2013-10-15得票数 1
5回答
我正在试图找出一种方法,允许用户从服务器下载文件并对其进行编辑,但当他们保存时,它会保存回服务器。我正在寻找一种方法,如果可能的话,不涉及闪光灯或silverlight之类的东西。
浏览 0提问于2012-08-23得票数 6
假设我发布了我的应用程序的1.0版本。
然后假设我想完全更改2.0版本的服务器/数据库,但是这样做会破坏我1.0版的服务器通信。
与其让用户怀疑他们的1.0版应用服务器通信为什么停止为他们服务,还没有办法让他们知道他们需要升级吗?换句话说,是否有办法使用旧版本的应用程序向用户发送推送通知,让他们知道他们需要升级才能正常工作?
我知道iOS的“朋友家庭之争”就是这样做的,基本上是因为他们增加了一些新特性,而这些新特性并不适用于旧版本。这是您希望将推送通知从开发人员发送给用户的另一个例子。
另外,是否有更好的方法来处理服务器/数据库的更改?(如果问题太笼统,很抱歉)。我觉得打破服务
浏览 1提问于2013-08-06得票数 0
回答已采纳
我试图在本地用Laravel发送邮件,并收到以下错误:
预期响应代码250,但代码为"530",需要消息"530 5.7.1身份验证“
每当我将文件上传到我的服务器时,邮件就会正常工作。在我的本地开发环境中,我只会收到这个错误。
我的config/mail.php文件有以下内容:
'driver' => env('MAIL_DRIVER', 'smtp'),
'host' => env('MAIL_HOST', 'secure.emailsrvr.com'),
&
浏览 7提问于2020-12-24得票数 1
是否有一个可靠的公共注册表(最好以API的形式)记录开源软件中已知的安全漏洞?
为什么会有人想要这个?
我试图模仿github在本地服务器上的依赖。它只需扫描所有存储库,检查依赖项是否更新,并通知维护人员,但我无法告诉他们更新的严重性。大多数更新都是完全无害的(一点也不紧急)。然而,有一小部分是极其严重的,应该立即采取行动。
最后,我想找到一种编程的方法来确定哪些开源库更新是常规更新,哪些是包含重要安全更新的更新(也就是说,没有人需要研究每个更新)。
作为参考,这里有一个可靠的例子(注意右边显示更新的严重性)
📷
浏览 0提问于2020-11-07得票数 3
2回答
我刚刚偶然发现了一个容易受到错误的SQL注入攻击( https://stackoverflow.com/questions/6181248/is-this-site-vulnerable-to-an-sql-injection-attack )的网站。
这让我好奇什么是尝试过的,以及攻击尝试在某个网站上出现的频率。
所以我想在我的服务器上设置一个蜜罐是很酷的,看看是否/多久一次/使用什么样的技术“cracker”来访问我的SQL数据。
我能想到一些基本的东西来吸引他们,比如:
/login.php / asp url
/adminlogin.php / asp url
搜索表
?id=111
浏览 0提问于2011-05-31得票数 9
回答已采纳
1回答
我正在尝试在托管服务器上部署一个JS应用程序(回到nodejs中,在reactjs中)。我已经对接了一切(后台,前台和数据库),一切正常,我可以通过服务器的IP地址访问我的应用程序。 现在,我正在尝试设置一个域名以指向我的应用程序。我有一个Invalid Host header when,我尝试从域名访问(同时仍然可以通过服务器的IP地址访问)。 我试图在我的reactjs应用的.env中添加一个HOST:mydomain.com,但是我得到了这个错误的Could not find an open port at mydomain.com 如果有人能帮我解决这个问题,我将不胜感激:)
浏览 17提问于2019-05-13得票数 2
1回答
我生活在这样的印象中:及时的更新是非常重要的。即使是家庭用户也不希望他们的电脑索取他们的数据赎金。然而,越少的家,越多的公司,我们的设置,安全只变得更多,而不是不那么重要。一家有很多损失的大公司需要在安全更新一开始就应用它们,这有希望但不一定意味着“比坏人更早利用漏洞”。根本没有时间让管理员在早上醒来,去工作并手动应用它们。因此,必须将企业系统设置为自动更新。
显然,这并不完全适用于公司: IIRC --这正是我听到的理由之一,为什么我建议家庭用户使用云服务来运行自己的网站,而不是在家中运行自己的专用服务器。云立即更新他们的系统;但是如果一个家庭用户运行他们自己的服务器,他们有时不得不睡觉,所
浏览 0提问于2020-04-26得票数 0
(这个问题与您会在生产服务器上安装phpmyadmin吗?有关,但与之不同)
我想使用PhpMyAdmin访问我的生产数据库。我不希望它安装在生产服务器上。在另一台服务器上运行它是否合理/安全,但它是否可以通过Internet访问我的生产数据库?
浏览 0提问于2011-11-07得票数 2
回答已采纳
3回答
我很想知道用来发现漏洞的技术。我知道关于缓冲区溢出,格式字符串漏洞,ecc的理论,我也写了其中的一些。但我仍然没有意识到如何以一种有效的方式找到漏洞。
我不是在寻找魔术棒,我只是在寻找关于它的最常见的技术,我认为对于一些承认你有权访问源代码的项目来说,查看整个源代码是一项史诗般的工作。尝试手动模糊输入也不是很舒服。所以我想知道一些有用的工具。
例如。
我不知道开发团队怎么能这么快就找到漏洞来越狱iPhones。他们没有源代码,他们不能执行程序,因为有少量的默认程序,我不希望有大量的安全漏洞。那么,如何如此快速地找到这种漏洞呢?
提前谢谢你。
浏览 1提问于2010-09-28得票数 18
我一直在不懈地寻找MS14-066关键更新(Schannel中的漏洞)的正确更新,每次我向服务器下载不同的修补程序/版本时,它都会说:“它不适用于这台计算机。”我已经下载了超过10个不同版本的更新,他们都说同样的错误信息。我想知道以前有人听说过这个错误吗?我尝试过研究,但所有的论坛似乎没有一个合法的解决办法,并将我发送到相同的Windows下载页面,我以前下载的文件。如果有人能给我指明正确的方向,我将不胜感激。
浏览 0提问于2017-04-24得票数 0
我正在尝试使用tomcat服务我的网站www.mywebsite.com。
我不使用apache和使用tomcat作为我的not服务器。我已经默认端口为80,目前我有mywebsite.war躺在webapp文件夹中。当我开始使用tomcat时,我的网站只会解压缩并被部署到一个名为mywebsite的文件夹中。
我面临的问题是,当我试图访问我的网站作为www.mywebsite.com,它打开猫欢迎页面,而不是我的网站这是可以理解的S在我的配置中的一些问题.。
要访问我的网站,我必须键入子文件夹的名称以及。这意味着,我使用www.mywebsite.com/mywebsite/pope.htm
浏览 0提问于2013-05-15得票数 0
5回答
我已经要求把地毯从我的服务器室移开,一场灾难几乎要发生空调泄漏,机架下面的地毯湿透了。(距服务器尾部0.3米的空调单元)
他们问我们是否可以在地毯上铺一些衬里,因为这是一栋租来的房子。
如果是的话,你有什么材料或其他建议?
浏览 0提问于2012-05-25得票数 20
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
