2回答
假设有客户机-服务器机器。
在客户端机器上,我们生成了一个Server,并在服务器机器上存储了相同的密钥。
这意味着,当客户端使用SSH连接服务器时,它将不需要密码。
如果客户端机器遭到黑客攻击,那么服务器机器就容易受到所有攻击?
浏览 0提问于2017-07-12得票数 0
3回答
在这里,XSS攻击被视为来自客户端机器的攻击。但是有没有办法在服务器上进行XSS攻击呢?
我想知道是否有任何方法可以像SQL注入那样使用客户端接口在服务器上执行代码,但这里不是数据库服务器,而是一个简单的Web服务器或应用程序服务器。
浏览 0提问于2013-05-09得票数 1
1回答
假设客户端和服务器正在使用SSL2.0,它支持DES加密套件。另外,假设服务器的RSA密钥是不可分解的。在SSL2.0中,客户端选择主秘密并使用服务器的公钥对其进行加密。如果客户端和服务器同意使用DES的破密文套件。MITM如何利用弱对称密钥(DES)?在我看来,除非服务器的公钥被考虑在内,否则MITM什么也做不了。专家能向我详细说明或澄清吗?
浏览 0提问于2017-01-01得票数 1
回答已采纳
假设我使用我的Yubikey OTP登录到多个服务器,它就会被破坏。我去登录那个受损的服务器,然后输入我的OTP。显然,一旦验证了密码,它就不能被重用,但是谁能说服务器必须验证它呢?恶意软件可以继续复制自己,尝试使用Yubikey、OTP等登录到另一台服务器,这样就可以在更多的服务器中复制自己。这有可能吗,还是我遗漏了什么?
浏览 0提问于2020-12-26得票数 1
3回答
最近我读到了不同的拒绝服务方法。一种突出的方法是SYN洪水。我是一些不太好的论坛的成员,有人在卖一个python脚本,它会使用带有欺骗IP地址的SYN数据包来DoS服务器。
但是,如果将SYN数据包发送到带有伪造IP地址的服务器,目标服务器将将SYN/ACK数据包返回给被欺骗的主机。在这种情况下,被欺骗的主机不会返回一个RST数据包,从而取消75秒的长等待,并最终失败地尝试DoS服务器?
编辑:如果我不使用SYN曲奇呢?
浏览 0提问于2010-05-15得票数 5
回答已采纳
1回答
我需要一种安全的方法来将密码存储在数据库中,但我也需要一种获得原始密码的方法。当然,如果不是这样的话,我就会把它搞砸了。为了解决这个问题,我想出了以下解决方案,但我想知道它是否安全。
我在服务器上有一个秘密密钥,另一个秘密密钥保存在客户端应用程序中。后者对于每个用户来说是不同的,每次用户登录时都会生成一个新的密钥。
只有当用户发出请求而服务器需要获得原始密码时,服务器才会同时拥有两个密钥。这意味着当服务器被破坏时,密码仍然是安全的,因为您只有总密钥的一半,而且由于我使用的是AES 256,所以仍然需要破解128位。
这可以吗,还是我漏掉了什么重要的东西?
编辑:我需要在对外部服务的API调用中
浏览 0提问于2016-09-14得票数 2
1回答
我研究过并知道同源策略(SOP)是由浏览器处理的基于客户端的策略。服务器负责将列表返回给浏览器,允许来源和浏览器检查它与当前来源,然后决定是否读取响应。也许一些案例浏览器会发送一个预照明请求来检查。但所有这些都是浏览器(客户端)的工作。服务器仍然接收来自不同域的请求并执行它,然后发送响应。而SOP不适用于来自另一个服务器的请求(服务器对服务器的请求),请求来自邮递员...所以我认为使用SOP服务器还是不安全的。
有没有人能多解释一下。谢谢。
浏览 20提问于2018-08-11得票数 1
回答已采纳
3回答
应用程序计费概述中的部分指示在远程服务器上执行“签名验证”,而不是在应用程序中(在Android设备上本地运行):
通过执行签名验证,您可以帮助检测被篡改或被欺骗的响应。您可以在应用程序中执行此签名验证步骤;但是,如果应用程序连接到安全远程服务器,则建议在该服务器上执行签名验证。
但是,如果我在远程服务器上执行签名验证,只期望得到一个yes/no或true/false答案,那么攻击者拦截和修改这难道不是更容易吗?
如果来自远程服务器的答案是另一个签名,那么在设备上本地验证第二个签名比第一个(市场)签名更安全吗?
我遗漏了什么?
Update: @alf正确地指出,如果服务器还负责交付购
浏览 4提问于2012-01-09得票数 5
回答已采纳
我注意到大量服务器端HTTP客户端库默认接受不可信的TLS通信。
,对于接受不可信SSL证书的服务器到服务器HTTPS通信,MITMing有哪些明显的攻击矢量?
。
例如,DNS缓存中毒可以用使用自签名证书的攻击者替换来替换真正的端点。
正如@steffen所提到的,有人可以在同一个数据中心中租一个服务器,然后尝试使用ARP欺骗。
还有其他人吗?
浏览 0提问于2016-02-24得票数 1
回答已采纳
我禁用了PermitRootLogin,我无法通过root登录到服务器,但是用户询问密码:
📷
这是正确的吗?还是我错过了什么?为什么密码在不允许的时候被问到?!
浏览 0提问于2016-02-21得票数 7
回答已采纳
在我的组织(庞大的金融机构)中,有4ns服务器被ns DNS记录定义为我们所有公共网站的权威DNS服务器。但是,我发现那些DNS服务器如果被查询到任何其他域,也会发送响应。
我不知道这种行为是否有安全风险。参考资料也将不胜感激。
浏览 0提问于2018-07-10得票数 1
除了使用DHE实现PFS之外,当服务器的私钥被泄露时,我们希望尽可能少地被公开。那么,RSA在DHE_RSA密码套件中的用途是什么呢?在密钥交换期间,服务器签署了什么?
浏览 0提问于2013-12-01得票数 3
回答已采纳
2回答
同步客户端-服务器操作
、、、
处理服务器和客户端都被检查的事件,比如攻击,通常的方法是什么?有一个冷却时间计时器的攻击,客户是知道的(因此,为了防止垃圾邮件服务器请求和攻击按钮被持有)。
接下来,在权威服务器上有一个冷却定时器。我的问题是,有时对客户端的攻击不会在服务器上执行,因为服务器计时器(serverFrameTime - lastAttackFrameTime > attackCooldown)没有计算到所需的时间,因此这些攻击都是对客户端的“空白”攻击。
有没有一种标准的方法来处理这个问题而不发送太多的消息呢?这对我来说是个问题,因为我可能会触发更多的那些事件和更多的计时器,所以不点击自动攻击对我来说不是一
浏览 0提问于2016-02-11得票数 5
1回答
私用RSA密钥的集中存储
、、、、
我从事多用户项目,用户可以在其中共享数据。用户上传到服务器的数据将在客户端携带对称密码之前被加密,然后将对称密钥用公共RSA算法加密给用户(基本的PGP)。通过这种方式,我可以保证未经授权的用户不会访问数据,即使他们能够获得对服务器的根访问。
问题是我应该如何处理私密的RSA密钥。通过使用公钥加密技术,用户非常容易被锁定在包含私钥的设备上。但假设用户希望在智能手机、笔记本电脑和台式机之间切换。在我将私钥上传到中央服务器之前,用对称密码加密私钥并使用PBKDF2迭代密码是否安全?
还是有更好的方法在多个设备之间共享私钥?
浏览 0提问于2017-02-24得票数 4
我正在做一个网络游戏,在客户端,我用服务器发送的外推位置插值客户端的位置。客户端有自己的物理模拟,由服务器分步骤进行校正。问题是,当它滞后,我‘踢’球,服务器收到一个延迟的消息,并发送给我的位置向后的客户位置,使球来回。我想忽略这些,也许在服务器上对此进行补偿,但不确定。问题是,在这些情况下,时钟的差异是0.07ms或0.10ms,我想忽略这个信息不是很高。
当我得到服务器位置时,我用时钟间隔* serverBallVelocity推断
我能检查一下我的新球服务器位置是否在我的实际球矢量位置后面吗?我试图使用点乘积后,标准化两个向量,以检查他们是否是相对的,但它没有正常工作。
对此有什么建议吗
浏览 0提问于2011-10-25得票数 2
1回答
当然,在使用客户端密码扩展(加上服务器上的一个散列)时,服务器需要在身份验证之前发送salt。
虽然盐被认为不是真正的“秘密”,但公开的盐是否是拒绝这种方法(即客户端密码扩展)的一个严肃考虑?
这个答案 (有600多张选票)表示,保密是很重要的。我知道很难衡量某件事有多重要,但如果你能给我一些想法,那将是有帮助的。客户端这样做的原因是为了减少DDOS攻击。
浏览 0提问于2018-07-10得票数 0
回答已采纳
我想做的是用IPTables阻止RST攻击。
当我搜索它时,我看到带有RST标志集的数据包被速率限制的规则。
我有点怀疑。我想我需要限制RST / ACK,而不是RST
如果我没有弄错,当客户端决定中止现有连接时,服务器将接收到RST / ACK数据包,服务器将使用ACK进行响应并关闭连接。
因此,服务器通常从不获取或发送RST数据包。我觉得总是RST / ACK
除非客户端被欺骗,并且攻击者插入RST标志。
但为什么要关闭连接呢?
我可能错了,因为我到处都看到了,但我认为攻击者需要插入RST / ACK,不是吗?
服务器不能看到RST / ACK与没有ACK的RST之间的区别
浏览 0提问于2012-04-22得票数 1
在PKCE中,我了解到code_verifier用于生成代码挑战,随后授权服务器验证此code_verifier值以完成PKCE过程。
这个code_verfier值有多敏感?这个价值一定要保密吗?如果这个值被泄露,敌人能执行什么攻击?
浏览 1提问于2019-04-10得票数 5
回答已采纳
在我目前的项目中,我很少有TCP 32‘S通过TCP连接到服务器。这些静电除尘器分布在300米的范围内。
每小时一次,服务器请求(随机)选择ESP,以指示空中的帧。这些被称为"BEACONERS“
同时,服务器要求很少其他(随机)选择的ESP嗅探空气和寻找这些信标,一旦找到-返回到服务器。这些叫做“嗅探器”。
他们每个人(暗影者,嗅探者)都有30秒的“上电视”。
信标帧以纯文本形式输出,它由一个只有信标者和服务器才知道的值组成。这个值随着时间的推移而变化,信标者从来不会发送相同的值两次。
一旦被嗅探器接收到,信标唯一的id和值将返回给服务器,然后服务器验证如下:
信标者的身份证被归还给
浏览 0提问于2021-11-24得票数 0
回答已采纳
1回答
我需要为我的应用程序创建许可服务器。应用程序应该使用ping许可服务器,如果许可证过期,则停止工作。应该如何稳妥地做到这一点?我还没找到任何关于这方面的文章。更确切地说,让我困惑的是如何防止攻击者执行以下操作
看看我在哪里提出要求(例如用小提琴)
创建自己的服务器
使用etc/host文件将他的PC指向服务器。
这方面有什么最佳做法吗?
浏览 4提问于2015-11-25得票数 0
回答已采纳
我正在研究ddos攻击以获得更好的理解。我从这个社区读了很多书,但是有一件事我无法理解,那就是丢包。
因此,假设我已经识别了一个攻击签名,并希望丢弃这些数据包。
攻击者-------------跳----------跳-------跳------我的服务器
在那个阶段,如果包是由我配置的,那么丢包,而不是意外的丢包。
如果它们被丢弃在我的服务器上,这有什么帮助,因为数据包已经到达,因此占用了带宽。还是说丢包只是一种避免发送应答的技术,因此攻击者必须等待超时?
浏览 0提问于2015-07-24得票数 6
能否从单个客户端执行缓慢的Post HTTP攻击?
以下来源引用了这一行:https://medium.com/fantageek/understanding-socket-and-port-in-tcp-2213dc2e9b0c
端口为16位数,因此任何给定客户端与任何给定主机端口的最大连接数为64K。
但从最高峰开始。服务器可以处理的连接数量通常比上述限制要大得多(大约300 K,但可伸缩),我假设慢Post HTTP攻击只能作为DDoS攻击(使用一个以上的客户端)。
但是我也可以看到关于缓慢的Post HTTP攻击的描述是DoS攻击。就像。https://blog.qualys.com/
浏览 0提问于2020-07-17得票数 0
我读到的关于冒充网站的文章越多,我就越困惑。攻击者是否需要服务器的私钥才能模拟网站,或者拥有私钥只会使他有解密通信的能力?
当我想到模拟一个网站时,我想到了一个碰撞攻击,其中一个md5散列被破坏了,然后可以使用一个假证书来使用一个新的密钥对来有效地模拟一个网站。
当我想到一次MiTM攻击时,我想到的是一种攻击,在这种攻击中,处于中间的人获取服务器的私钥,并在客户端和服务器之间来回转发通信量,从而允许攻击者解密和查看所有通信。对我来说,这不是“冒充网站”。有人能澄清一下我的困惑吗?
浏览 0提问于2014-10-02得票数 0
回答已采纳
1回答
我最近一直在阅读崩溃和幽灵错误,以及它们给虚拟化服务器带来的问题,因为一个VM中的内存可能会被另一个在同一个主机上的VM中的用户访问。
我在DigitalOcean (这里)上找到了这篇文章,他们讨论了如何确保向服务器应用新的内核补丁,以帮助减轻bug的影响。在评论中,我看到人们谈论这样保护他们的服务器水滴(DigitalOcean的VPSs品牌),这就是我感到困惑的地方。当然,在其VM上应用的任何安全更新都不会影响在旧操作系统更新上的另一个VM中错误的执行?当同一台主机上的攻击者在操作系统的旧版本上时,他们就不能很好地利用这些bug,因为它们是执行所需代码的,而不是他们试图从其中检索内存的更
浏览 0提问于2021-09-27得票数 1
回答已采纳
今晚,我的服务器进入了“反黑客”模式,我只能使用只读FTP下载我的数据。
他们告诉我,我是对网络的威胁,这些日志导致了警报:
Attack detail : 82Kpps/25Mbps
dateTime srcIp:srcPort dstIp:dstPort protocol flags bytes reason
2016.04.24 03:04:13 CEST MY_IP:44530 8.8.8.8:53 TCP RST 40 ATTA
浏览 0提问于2016-04-24得票数 0
2回答
据我了解,用于加密应用程序数据的原始主密钥从不通过有线传输,它是在客户机和服务器上单独使用类似哈希函数计算的,该函数以下列输入为输入:
客户随机
服务器随机
用服务器的公钥加密的主密钥。
如果中间人捕获TLS握手数据包,如果他以某种方式拥有服务器的私钥,那么他能够生成主密钥吗?那么,服务器的私钥是防止中间人攻击的唯一保护措施吗?
在mTLS中发生了什么,其中客户端也共享其证书(公钥)?它会改变主键的生成方式吗?
浏览 0提问于2022-04-15得票数 1
我使用来更好地理解OpenID连接流,它可以这样说来验证state参数:
用户被重定向回客户机,您将注意到URL中有一些额外的查询参数:
?state=7ymOWcwttpCfDNcs&code=Tav2TPBjSNvR8aowA3oe
由于攻击者可以创建类似于此的GET请求,因此攻击者可以向您的应用程序提供垃圾授权代码。您需要首先验证state参数是否与此用户会话匹配,以确保您启动了请求,并且只发送了为您的客户端准备的授权代码。
基于这一解释,我们使用状态参数防止的唯一“攻击”似乎是攻击者发送我们的应用程序错误代码,我们根据授权服务器检查坏代码,然后被拒绝。
但是afaict
浏览 0提问于2018-09-22得票数 1
回答已采纳
1回答
源ip地址可以被欺骗。而且,由于IPv6的存在,仅保留一个被排除在访问网站之外的ip地址的查找表是不够的,因为使用ipv6,现在有足够的ip地址供单个发件人在send服务器上发送探测请求的五分位数。
考虑到这一点,哪些新的方法可以缓解web服务器的IP转发DDOS探测?
是白名单个人注册用户ip地址和____的唯一解决方案吗?
浏览 0提问于2021-03-02得票数 1
SQL注入是什么类型的攻击?我很困惑,因为这种攻击是通过客户端进行的。然而,攻击者的目标是一个“在服务器后面”的数据库。2017年OWASP前10名攻击大多是服务器端攻击,但攻击是通过客户端执行的。有人能解释一下为什么他们被归类为服务器端吗?
浏览 0提问于2018-10-12得票数 0
回答已采纳
1回答
我正在使用更好的上限和https代理对我自己的网络执行MITM攻击。在我的客户端,我使用Google浏览器,在使用分析客户端TLS安全参数的脚本的同时导航到https://webs.com。
Bettercap将它的证书呈现给客户机-服务器连接,我接受证书警告(只是为了测试)。当我看到分析客户端TLS安全参数的脚本的结果时,客户机和服务器之间选择的参数具有很强的安全性等级。尽管MITM攻击成功地注入了他的证书,但是模式者在客户端和服务器之间仍然是安全的,这是怎么可能的?
浏览 0提问于2020-08-19得票数 -1
3回答
服务器端SSH密钥受损
、、、
我感兴趣的是,如果主机的服务器端SSH密钥被破坏,后果可能是什么。
目前的情况是:
攻击者设法读取服务器的SSH私钥。
攻击者可以使用MITM与主机的任何连接(因为他正在控制路由器,或w/e)。
这是否意味着攻击者现在可以读取通过任何SSH连接的任何数据?我会说不,因为一些密钥交换算法,如Diffie-Hellman。对吗?
我的猜测是,攻击者所能做的最糟糕的事情就是模拟服务器,导致用户登录他的系统而不是合法的系统。
浏览 0提问于2014-04-04得票数 8
回答已采纳
stratum+tcp://binyu.crypto%40gmail.com:x@xmr.pool.minergate.com:45660/xmr.服务器突然忙于运行1个或多个进程实例:./yam -c 1 -M AWS这个矿门是某种“加密货币GUI挖掘器”,所以这是令人担忧的。我已经终止了进程。但找不到这样的问题:我的服务器是否被黑客入侵并被用作某些在线货币服务器?
浏览 3提问于2016-11-28得票数 1
1回答
跟进中概述的设计,特别是中列出的问题:缓解措施是什么?
具体来说,我有一个web服务器,它公开了一个由移动应用程序使用的REST。我希望用户能够使用Facebook认证服务器(通过应用程序)。
现在,一个明显常见的流程是,应用程序将用户重定向到Facebook,在那里他们将使用自己的凭证登录。然后,应用程序将获得一个令牌,并将其发送到服务器,服务器将使用图形API验证令牌。
但是,服务器如何确保令牌真的来自应用程序呢?具体来说,如何防止恶意应用供应商重用我的应用程序ID?毕竟,应用ID被硬编码到应用程序中,因此可以被恶意应用程序提取和使用。如果用户使用Facebook登录恶意应用程序,那么恶意
浏览 1提问于2017-04-09得票数 0
回答已采纳
1回答
最近,我的许多朋友一直在谈论僵尸网络。他们说他们自己创造了。,很明显,我
我知道这都是违法的,所以我尽量不参与其中。
但我一直在想它们是怎么工作的。我在网上读过一些文章,也读过一些关于控制服务器和点对点通信的基本知识,但我仍然不太明白。有时我的朋友会问什么托管公司支持UDP欺骗,我不明白。C--他们只是从我假设的设备上发送UDP数据
在向DNS服务器发送数据时不欺骗源IP (例如)?
浏览 0提问于2022-01-26得票数 0
回答已采纳
我管理一个公共服务器,它每天接收来自不同来源的大约100次csh冲击。它是一个HTTP方法,它请求/cgi/authLogin.cgi URI。
知道我的服务器中不存在所请求的URI,从internet接收很多攻击尝试是否正常?这是否意味着我的服务器被破坏了?
编辑
有网络审计经验的人能告诉我从互联网收到这么多的攻击是否正常吗?
浏览 0提问于2014-12-31得票数 3
我理解为什么SSL客户端证书没有被广泛使用(需要安装它们,共享机器的问题等等)。另一方面,当我登录到服务器时,密码将被发送到服务器内存中。此外,如果服务器证书泄漏,并且存在DNS欺骗,则无法防止MITM获取密码。虽然这种类型的攻击很少发生,但仍然会发生(参见diginotar)。
我提出了一个非常简单的方案--因为它没有被广泛使用--我假设它有问题:
在设置密码时:
随机盐生成(由客户机、服务器或两者兼而有之)
客户端获取salt和密码,并为先前商定的密码安全PRNG种子。
公钥和salt存储在服务器上。
登录时:
盐被发送给客户
客户端重新生成私钥
服务器之间的质询/响应的身份验证中继
这种
浏览 0提问于2012-03-17得票数 1
回答已采纳
想象一下情况:
应用程序可能通过SSL/TLS运行,也可能不运行
应用程序不应该知道客户端的密码,因为客户端可能重用密码。
那么,合并客户端和服务器端密码哈希不是最好的吗?
如何创建密码:
用户在字段中输入密码。
本地端javascript哈希密码,并提供salt用户名。
该散列数据通过网络传输到服务器。
服务器将随机生成的salt添加到哈希中,并将两者重新散列到一个新哈希中。这个新的散列和服务器端随机盐被存储。
登录将如何工作:
用户在字段中输入密码。
“登录”字段的值作为salt,本地端javascript计算散列。
此哈希通过网络传输到服务器。
服务器获取存储给该用户的salt,将散列和
浏览 0提问于2015-06-16得票数 1
1回答
目标
通过HTTP请求验证客户端。
验证客户端的WebSocket连接。
防止利用WebSocket连接(当网站上存在XSS漏洞时)。
我是怎么做的
步骤1客户端通过发出常规HTTP请求访问网站。Cookie用于验证客户端和服务器响应的JS snippet +AuthToken(生成和保存在服务器上):
(function() {
var ws = new WebSocket("wss://localhost:1000");
// application logic goes here
})();
步骤2服务器将新创建的WebSocket连接标记为不安全/未知。
浏览 0提问于2021-08-15得票数 0
回答已采纳
2回答
当我从局域网外部用ssh -D建立一个隧道,然后通过FTP访问我唯一公开的本地服务器时,它可以被称为“安全”吗?隧道是在同一个设备上建立的,我将FileZilla配置为使用来自“localhost”的通用(SOCKS)代理。因此,唯一未加密的部分是从LAN中的传出SSH隧道到同一网络中的服务器(只有我才能访问),对吗?隧道设备和FTP服务器是不一样的。
我对这个设置或多或少是肯定的,但是通过FTP在互联网上发送(私有)数据感觉很奇怪。我错过什么了吗?
提前谢谢你!
浏览 0提问于2023-01-06得票数 0
1回答
一个朋友在问我关于mod_proxy模块的事,
他们有一个最近被mod_proxy攻击的服务器,在检查了他的日志之后,他说他不会受到那些攻击,因为他们有一个更新的版本.
因此,为了避免进一步的攻击,他询问服务器上是否需要这些模块:
mod_proxy.so
mod_proxy_connect.so
mod_proxy_ftp.so
mod_proxy_http.so
mod_proxy_ajp.so
mod_proxy_balancer.so
或者他可以安全地移除它们..。
谢谢!
浏览 0提问于2011-08-18得票数 0
回答已采纳
1回答
用乌贼防止MITM攻击
、、、、
有两种选择,最好的方法是什么?
我也想
创建一个检测MITM攻击的squid代理服务器
或
创建python应用程序,以检测本地证书存储和从服务器发送的证书之间的差异。如果存在差异,请在客户端显示错误,说明防止了可能的MITM攻击,然后将用户重定向到真实站点。这个是可能的吗?我能用什么编程语言来解决这个问题?
浏览 0提问于2021-03-21得票数 -1
1回答
我有第一代iPad,当我在家的时候,我通常会用它浏览网页。第一代iPad不能运行更新版本的iOS (我被iOS 5困住了)。我去了一个网站,告诉你的SSL客户端是好的还是坏的。我的iPad有一个糟糕的SSL客户端。我有一台用作个人家庭服务器的计算机。服务器有一个良好的SSL客户端。我想知道是否可以将我的iPad连接到该服务器,然后服务器会为我加密连接。我想要做的是使用计算机作为代理服务器,iPad和我的代理之间的连接可能是不安全的,因为我信任我的家庭网络,但是代理和web之间的连接将被安全加密。我试着使用Squidman代理服务器,但我再次访问了那个网站,它告诉我SSL客户端是坏的。因此,我认
浏览 0提问于2014-06-16得票数 1
回答已采纳
在实现HTTP服务器时,存在非When的问题。
服务器非client (与客户端不client相反)
必须由服务器发出。
只要服务器允许,客户端就可以重用它。
不知道什么用户以后会使用现在这个
天真的实现是记住内存中所有已发出的非list,但这会引入状态:客户端需要与同一服务器对话,或者服务器需要共享有效的非list列表,这将成为一个可伸缩性问题。
我的问题是:是否有可能提供安全和无状态的非and?我相信是这样,并希望它得到验证:
使nonce成为来自服务器
的加密签名消息。
过期时间戳(例如,未来的86400秒)
一个随机数(也许?)
一种密码签名(可能是sha或hmac?)
所有这些都可以
浏览 0提问于2012-01-28得票数 9
回答已采纳
1回答
关于加密的使用,我有一个问题:
我设置了一个Ubuntu12.04服务器,将其用作路由器、备份文件服务器和set服务器。当然,将备份放在与web服务器相同的系统上可能不是最好的主意,但这只是为了私人使用,我不想花太多的钱。
因此,我认为为备份用户帐户设置/家庭加密并不是个坏主意。但在同一时刻,另一个问题出现了:它仍然有意义吗?
通过SSH,根登录被禁用。并且访问该用户的/home文件夹的权限减少到用户本身。
因此,访问/home文件夹的唯一方案是将键盘/显示连接到服务器,以根用户身份登录并更改为/home。还是我监督过一个场景?如果我是对的,您只能作为备份用户从“外部”访问/home-文件夹。
浏览 0提问于2012-09-16得票数 4
回答已采纳
如果web应用程序和数据库位于同一服务器上,加密数据库数据的安全好处是什么?显然,密码应该以任何一种方式进行散列。
我假设,如果攻击者能够注入一些SQL或服务器代码,他将能够查看数据库数据。有人能更准确地勾勒出安全的影响吗?
编辑:为了澄清,我说的是数据加密。加密方法不是确定性的所以enc(data1) != enc(data1)
浏览 0提问于2015-02-06得票数 1
回答已采纳
1回答
在kerberoasting中,用户请求任何已注册SPN服务的服务票,然后使用该票证破解服务密码。但是在kerberoses认证过程中,KRB_TGS_REQ请求被KDC(票据授予服务器)持有的TGS密钥加密。
我希望到目前为止我是对的。
问题-攻击者如何将KRB_TGS_REQ请求发送到KDC(票证授予服务器)。
1-如果没有加密,为什么KDC(票证授予服务器)会因为未加密而返回服务票证
2-如果是的话,它是加密的,那么它是如何加密的,是用哪个密钥加密的。
3-他是否从一开始就执行整个kerberos身份验证过程,如果是,那么为什么他需要提取服务密码,因为当身份验证完成时,他将访问该服务。
浏览 0提问于2022-04-07得票数 0
1回答
我想开始学习如何管理自己的服务器,并将cPanel / WHM抛在脑后。我刚买了一个运行Ubunutu的VPS (Linode)。我要去他主持多个网站,在那里,在一个灯堆栈。
无论如何,我的问题是,是否应该为每个网站创建一个新用户并将文件存储在每个站点下,还是创建一个“站点”用户并将所有站点文件存储在该用户之下?
谢谢。
浏览 0提问于2013-02-16得票数 0
我有一个攻击场景,首先我发送一个恶意的pdf给我的受害者,然后我在他的计算机上有一个反向tcp shell (Meterpreter会话),然后我想利用我的受害者网络上的samba服务器(已经被利用了),这个服务器是无法从外部访问的,在这部分,我可以使用metasploit从我的第一台受害者计算机内部攻击那个服务器吗?(所有这些电脑都在我的实验室里,由我自己控制)
浏览 0提问于2016-05-30得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
