您如何攻击域以查找"未知"资源?
您可以使用以下方法来攻击域以查找"未知"资源:
- 暴力破解:尝试使用常见的资源名称和端口号进行暴力破解,以找到未知的资源。
- 扫描器:使用网络扫描器来扫描网络,以找到未知的资源。
- 社交工程:尝试使用社交工程技术来获取有关未知资源的信息。
- 渗透测试:通过模拟攻击者的行为来测试系统的安全性,以找到未知的资源。
- 漏洞扫描:使用漏洞扫描工具来扫描网络,以找到未知的资源。
推荐的腾讯云相关产品和产品介绍链接地址:
相关·内容
我正在使用fortify,它显示了攻击者在java应用程序中获取主机名时可以进行DNS欺骗的漏洞。我有一个解决方案,通过匹配前向DNS和反向DNS条目,可以避免。但是,它是如何有用的,我如何实现它,我找不到它。Fortify显示此行的漏洞。
如果检查以确保主机的前向和后向DNS条目匹配,则可以增加对域名查找的信心。如果不控制目标域的名称服务器,攻击者将无法欺骗转发和反向DNS条目。然而,这不是一种万无一失的方法:攻击
浏览 4提问于2017-04-20得票数 4
回答已采纳
FORTIFY静态扫描已经检测到我们的java代码中的这段代码容易受到DNS欺骗攻击: try { } catch (UnknownHostException e) { }FORTIFY还提出了以下建议:
建议:如果您检查以确保主机的前向和后向DNS条目匹配,则可以增加对域名查找的信心。如果不控制目标域的名称服
浏览 0提问于2020-06-21得票数 1
我目前正在构建一个使用phonegap的android应用程序,它从服务器的XML文件中提取新闻数据并显示它们(使用javascript)。该程序工作良好的html网页,但当它是在phonegap 3.4,数据不显示。我怀疑这与白名单有关,就好像XML文件和phonegap放在同一个文件夹中一样。<?xml version='1.0' encoding='utf-8'?>
<widget id="io.cordova.hellocordova" version="0.0.1&
浏览 3提问于2014-06-20得票数 0
稍后,在我们的流程中,客户端将尝试访问受保护的资源,例如将int登录到仅授予某个角色的网站。因此,虽然您可能已通过身份验证(您拥有访问令牌),但由于您的角色,可能不允许您登录此站点。然后,该端点将令牌与您正在尝试访问的uri一起发送到我们的验证服务器,验证您的令牌是好的,并且您的角色(我们通过数据库中的令牌条目查找)允许您访问资源,然后返回一个200以允许您继续访问,或者一个403
浏览 4提问于2013-07-11得票数 1
偶尔,我们会有图形在网站上的各个地方,是由于不正确的href与未知的子域,并是固定的缓存被清除。(正确的https://www.oursite.com/sites/image.jpg)
我们也看到谷歌有奇怪的未知子域URL的结果,就像图像URL一样。我在https://www.drupal.org/node/1992030中读过“防止HTTP头攻击(防止您的站点认为它是其他人)”,它可能是垃圾邮件或与Drup
浏览 0提问于2018-03-02得票数 0
为了访问我的web服务应用程序中的资源,客户端应用程序需要为每个资源提供唯一的共享密钥。
问题是:对于此目的,SecureRandom生成的Long是否合理安全(例如,防止暴力攻击)?真正的问题是Java中的Long的域是否足够大,以提供对HTTPS上的详尽攻击的保护。
浏览 11提问于2013-02-19得票数 4
回答已采纳
1回答
我有关于用jQuery从aspx页面调用json wcf方法的问题。 [ServiceContract] { [WebInvoke(Method = "GET", ResponseFormat = WebMessageFormat.Json, BodyStyle = WebMessageBodyStyle.Wrapped,
UriTemplate = "Test")]
浏览 1提问于2011-09-02得票数 2
回答已采纳
当我试图在我们的web应用程序上显示instagram图像时,我会得到以下错误:/269430179_619307746060977_8863061929784384401_n.jpg?_nc_ht=scontent-dus1-1.cdninstagram.com&
_nc_cat=109&_nc_ohc=B7qUhQC8GZkAX9zaHp6&edm=APwHDrQBAAAA&ccb=7-4&
浏览 16提问于2021-12-28得票数 1
我已经在我们管理的VPS实例的数量上使用后缀设置了SMTP中继。继电器用于发送错误和报告(欺骗,httpok,zope,crons .)来自那些VPSs的服务。他们被发送到我们的梦想主机维护邮件。但问题不是所有那些在MX记录中都设置了dreamhost的VPS实例。其中一些使用谷歌,另一些使用本地ISP的SMTP服务器,我无法访问该服务器。
如果我在没有dreamhost服务器的VPS实例上使用dreamhost作为中继
浏览 0提问于2016-09-30得票数 1
回答已采纳
2回答
我正在尝试重构我的代码,以重用现有的代码,但我想要一些建议,关于如何使用REST资源(在本例中是Jersey)以最好的方式做到这一点。然而,我也有一个资源,可以对URL做同样的事情。除了这里我要做的是从URL中提取域,并有效地执行与处理DomainResource类相同的逻辑,因为一旦我
浏览 3提问于2011-10-23得票数 2
回答已采纳
1回答
为什么攻击者不能修复h'并解决{s'}^e = h' \pmod n以伪造给定(n, e)的签名s'?什么样的假设告诉我们这个计算是困难的?如果e是未知的,这显然是离散对数问题,但在这种情况下,s'是未知的。这个问题:1024年RSA哈希签名攻击.伪造有效签名指出,h'有一个“成为完美立方体的微小概率”(假设e=3),如果这是上述问题的基本答案,为什么有限域的一个随机元素(足够多的位数)不太可能是一个完美的幂
浏览 0提问于2022-11-12得票数 2
MVC和React应用程序链接到Azure Application Insights资源以进行监控。 我想知道如何在Log Analytics中统一我的查询的两个应用程序洞察。问题是,当我尝试执行以下操作时,总是收到一个错误消息:“未知函数应用程序”: ? 这两个资源都存在并且位于同一个资源组中。我觉得我没有从正确的作用域执行查询。我尝试从整个订阅的作用域、完整的资源组和应用程序的作用域执行相同的查询。 我想知道是否
浏览 12提问于2020-01-14得票数 2
回答已采纳
通常,当阅读有关OAuth2的信息时,您可以找到应该在作用域中定义权限的信息,以准确地说明所需的内容。我最近在他们的Azure门户中研究了微软是如何做到这一点的。我的猜测是,如果令牌包含所有权限作为作用域,那么令牌就太大了?更广泛地说,在我看来,在OAuth2中至少有两种处理授权的方法:
存储令牌中的所有权限--资源服务器只是查看令牌以决定哪些数据要公开令牌中的存储有限信息(如userId)资源服务器必须在令牌中与提供的userId相关的数据库中查找权限。到目前为止,正
浏览 4提问于2022-02-17得票数 1
7回答
我的问题是,是否有人曾使用类似的工具来查找现有或建议的系统中的漏洞?
我是,而不是,我要求证明软件系统是安全的。我要问的是查找(理想情况下是以前未知的)漏洞(甚至是其中的类)。我在想(但不是)一顶黑帽子:描述系统的形式语义,描述我想要攻击的内容,然后让计算机知道我需要使用哪些操作来接管您的系统。
浏览 10提问于2010-09-09得票数 11
回答已采纳
1回答
重定向到所有通信量到SSL页。
、、、、
我正在尝试重定向所有流量以保护页面。我尝试使用PHP重定向和htaccess重定向。它们成功了,但问题是我得到了以下错误:我们是同一个领域。如何解决SSL证书工作在一个域而不是另一个域的问题?
浏览 1提问于2013-11-21得票数 0
回答已采纳
使用javascript,人们不能将图像(托管在与javascript来自的域不同的域上)转换为画布。
这有什么安全风险?这不能仅仅是为了避免网络钓鱼,对吧?
浏览 0提问于2011-08-11得票数 4
回答已采纳
来自“无灶领域”:
若要保留用于服务静态内容的无标记域,请注册一个新域名,并使用CNAME记录配置DNS数据库,该记录将新域指向现有域A记录。配置您的web服务器以提供来自新域的静态资源<
浏览 3提问于2010-06-17得票数 24
回答已采纳
其中一些测试是阴性的--用例测试,以确保我的系统对无法成功使用的给定数据做出正确的反应--例如被告知在不存在的远程主机上查找资源。但我不知道如何保证给定的URL将导致“未知主机”DNS响应。我可以试着做一个长得可笑、奇怪的域名,但这会让测试更难读,而且最终还是很脆弱的,因为有人仍然可以把一些东西绑定到那个可笑的域名上。是否有一个众所周知的“始终无法解决”(但有效)域或约定,我可以使用,而不必担心我的(或其他任何人的) DNS服务器的配置?
浏览 3提问于2016-09-02得票数 9
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
