服务器数据库被攻击怎么解
服务器数据库被攻击是一种常见的安全威胁,可能导致数据泄露、数据篡改、服务中断等严重后果。为了解决这个问题,可以采取以下措施:
- 强化访问控制:确保只有授权的用户可以访问数据库。可以通过设置强密码、限制登录尝试次数、使用多因素身份验证等方式提高访问的安全性。
- 更新和修补漏洞:定期更新数据库软件和操作系统,及时安装厂商发布的安全补丁,以修复已知漏洞。同时,监控漏洞信息,及时采取措施应对新发现的漏洞。
- 数据加密:对敏感数据进行加密存储,即使数据库被攻击,攻击者也无法直接获取明文数据。可以使用数据库提供的加密功能,或者在应用层进行数据加密。
- 定期备份和恢复:定期备份数据库,并将备份数据存储在安全的地方。在数据库被攻击后,可以通过备份数据进行快速恢复,减少损失。
- 安全审计和监控:监控数据库的访问和操作日志,及时发现异常行为。可以使用安全审计工具对数据库进行实时监控,并设置警报机制,及时响应异常情况。
- 使用防火墙和入侵检测系统:在服务器和数据库之间设置防火墙,限制对数据库的访问。同时,使用入侵检测系统监控网络流量,及时发现并阻止潜在的攻击行为。
- 增强安全意识和培训:加强员工的安全意识,提供相关的安全培训,教育员工如何正确处理敏感数据和避免常见的安全风险。
腾讯云提供了一系列的云安全产品和服务,可以帮助用户保护服务器数据库的安全。例如,腾讯云数据库安全组可以实现网络访问控制和防火墙功能,腾讯云云监控可以监控数据库的性能和安全状态,腾讯云堡垒机可以加强访问控制和审计功能。具体产品介绍和链接如下:
- 腾讯云数据库安全组:提供网络访问控制和防火墙功能,保护数据库的安全。详情请参考:腾讯云数据库安全组
- 腾讯云云监控:监控数据库的性能和安全状态,提供实时告警和监控指标。详情请参考:腾讯云云监控
- 腾讯云堡垒机:加强访问控制和审计功能,防止未授权访问和异常操作。详情请参考:腾讯云堡垒机
通过以上措施和腾讯云的安全产品,可以有效解决服务器数据库被攻击的问题,保障数据的安全性和可用性。
相关·内容
3回答
我们的应用程序将存储来自用户的一些信息,这些信息我们不希望被追溯到数据库中的任何其他记录。例如(尽管是愚蠢的)-用户必须付费匿名告诉我们他们最喜欢的颜色是什么。我们希望将每个颜色记录存储为数据库中的新行,并跟踪事务信息。
如果我们将颜色和事务存储在单独的表中,那么如果服务器被黑客攻击,行可以通过使用行的顺序ID (因为颜色总是有事务)或行的创建时间相互关联。因此,为了解决这个问题,我们不会为colors表设置顺序ID列,也不会为colors表提供更新/修改时间。
现在,将颜色与事务关联起来的唯一方法是查看用于实际存储数据库信息的文件。虽然这可能是困难和乏味的,但我认为这仍然是可能的,因为颜色表
浏览 6提问于2013-01-09得票数 1
回答已采纳
5回答
我正在试图写一个脚本,以防止在我正在建设的网站上的蛮力登录尝试。逻辑是这样的:
用户发送登录信息。
检查用户名和密码是否正确,
如果是的话,让他们进来。
如果没有,请在数据库中记录失败的尝试。检查在给定的时间范围内是否有太多的故障(例如:5分钟内5次):
如果是,则暂停执行10秒:sleep(10),然后向用户报告登录失败。
立即向用户报告登录失败
当我向一位同事解释这个问题时,有人问我,如果一个黑客在一秒钟内发送1000个请求,这会有什么帮助。前5个会立即返回吗?剩下的995只需要10秒吗?
我有一种隐秘的怀疑,我不完全理解HTTP是如何工
浏览 6提问于2009-11-13得票数 17
3回答
在这里,XSS攻击被视为来自客户端机器的攻击。但是有没有办法在服务器上进行XSS攻击呢?
我想知道是否有任何方法可以像SQL注入那样使用客户端接口在服务器上执行代码,但这里不是数据库服务器,而是一个简单的Web服务器或应用程序服务器。
浏览 0提问于2013-05-09得票数 1
如果web应用程序和数据库位于同一服务器上,加密数据库数据的安全好处是什么?显然,密码应该以任何一种方式进行散列。
我假设,如果攻击者能够注入一些SQL或服务器代码,他将能够查看数据库数据。有人能更准确地勾勒出安全的影响吗?
编辑:为了澄清,我说的是数据加密。加密方法不是确定性的所以enc(data1) != enc(data1)
浏览 0提问于2015-02-06得票数 1
回答已采纳
对于用户密码,我们应该始终对它们进行散列和加盐,然后将散列和加盐存储在数据库中。但是,存储最终需要以纯文本格式存储的密码的最佳实践是什么?我不习惯在SQL中存储纯文本密码,但我必须将密码发送到库中,这样它才能访问某些内容。
我的想法是,我可以在数据库服务器上存储一个加密的密码,然后在web服务器上解密。如果两个人都妥协了,我就完了。但如果只有一个被攻破,加密就会给我足够的时间来更改密码。
你们都怎么想?
浏览 0提问于2014-10-30得票数 0
我将机密数据存储在mysql数据库中,该数据库由运行在同一个物理盒上的web服务器提供。如果我将这两个服务器分开(甚至在两者之间设置一个防火墙),那么如果web服务器被破坏了,我是如何使访问mysql数据库更加困难的呢?web应用程序将连接字符串存储在纯文本配置文件中。黑客所要做的就是使用这些凭据连接到数据库服务器,DB服务器无法知道这不是授权客户端。
浏览 0提问于2010-06-26得票数 2
回答已采纳
2回答
我正在创建一个Web服务,它实现了一个函数,该函数接受输入参数并将它们存储在数据库中。(代码是用Java编写的,使用NetBeans IDE编写,部署在WebLogic服务器上。)就像这样:
@WebService
class DataSaver {
void saveData( ...data... ) {
...
}
}
它已经完成了,而且似乎工作正常,所以我现在关心的是安全:
如果太多的客户端同时连接(或者有人在我的站点上进行拒绝服务攻击),那么服务器将无法正确地处理所有请求,会发生什么情况?
1)我更希望服务器/应用程序不崩溃。在过载的情况下,有哪些机制
浏览 5提问于2012-08-16得票数 1
回答已采纳
1回答
我一直避免学习PHP和MySQL,因为我在互联网上读到的关于PHP不是一种安全语言的内容,以及数据库的安全风险(SQL等)。
我想要了解的主要问题是,PHP/MySQL代码的糟糕通常会造成何种类型的破坏。换句话说,在编写糟糕的代码、数据库中的信息或整个服务器时,我们要冒什么风险?
我知道这可能是一个复杂的话题,但我只想简单地解释一下,当数据库或PHP脚本被破坏时,什么信息通常会受到影响。
当数据库被破坏时,这是否意味着整个服务器可能面临风险,或者仅仅是数据库及其内容?
当PHP脚本被破坏时,这是否意味着整个服务器可能面临风险,或者仅仅是脚本和任何与内容相关的内容?
浏览 5提问于2014-07-15得票数 0
回答已采纳
我们有一个托管在共享服务器上的网站。托管公司的MySQL服务器托管在另一台服务器上。
我们通过web表单收集某些类型的请求,并将它们写入数据库。每10分钟,cron运行一个php脚本
查询数据库中的视图(没有用户提供或程序提供的参数),
向我们发送新的请求,以及
将新请求的键写入另一个表,从而有效地从视图中删除这些行。
这是在cron下运行的唯一进程,cron只运行这一个脚本。
所有php数据库访问都是通过PDO进行的。插入使用PDO的bindParam。
一个php文件包含MySQL服务器的连接信息。它存储在web根目录之外,我是所有者,它的权限是单独为我读取/写入的,完全没有其他权限。
昨
浏览 0提问于2012-08-03得票数 4
回答已采纳
SQL注入是什么类型的攻击?我很困惑,因为这种攻击是通过客户端进行的。然而,攻击者的目标是一个“在服务器后面”的数据库。2017年OWASP前10名攻击大多是服务器端攻击,但攻击是通过客户端执行的。有人能解释一下为什么他们被归类为服务器端吗?
浏览 0提问于2018-10-12得票数 0
回答已采纳
2回答
我的服务器(节点)上有一个将新数据写入数据库的API。要使用API,用户需要提供充当标识符的令牌。因此,如果有人淹没了我的数据库或滥用了api,我就能知道是谁。
但是,我可以使用哪些技术来防止服务器被洪水淹没或挂起?请注意,对API的大多数请求都是由服务器本身完成的,因此,从理论上讲,我可能会每秒从我自己的服务器地址收到几十个请求。
我想得到一些阅读材料的参考资料。
谢谢!
浏览 0提问于2015-07-02得票数 4
3回答
我有一个托管在AWS上的443服务器,安全组允许从所有IP地址访问TCP端口22 (ssh)和443 (https)。ssh访问要求用户拥有我的私钥。
这个服务器上的MySQL数据库上的根用户应该有一个密码吗?如果是,为什么?登录数据库的唯一方法是通过ssh‘’ing进入计算机,如果黑客可以这样做,那么他们可以通过检查.myd文件轻松地查看数据。
然而,我所遇到的共同智慧似乎主张限制对数据库的根访问。
如果我的数据库位于与over服务器不同的机器上,并且数据库只能通过mysql端口被over服务器访问,那么更新怎么办?那么,是否仍然建议使用根密码?
浏览 0提问于2013-08-29得票数 3
回答已采纳
1回答
我需要一种安全的方法来将密码存储在数据库中,但我也需要一种获得原始密码的方法。当然,如果不是这样的话,我就会把它搞砸了。为了解决这个问题,我想出了以下解决方案,但我想知道它是否安全。
我在服务器上有一个秘密密钥,另一个秘密密钥保存在客户端应用程序中。后者对于每个用户来说是不同的,每次用户登录时都会生成一个新的密钥。
只有当用户发出请求而服务器需要获得原始密码时,服务器才会同时拥有两个密钥。这意味着当服务器被破坏时,密码仍然是安全的,因为您只有总密钥的一半,而且由于我使用的是AES 256,所以仍然需要破解128位。
这可以吗,还是我漏掉了什么重要的东西?
编辑:我需要在对外部服务的API调用中
浏览 0提问于2016-09-14得票数 2
2回答
首先,我为这个问题道歉。我知道有很多类似的明显问题要求如何在X应用程序中实现bcrypt,但这里我问的是两个策略之间的问题。
我最近在用户登录中实现了bcrypt。基本上:
用户向我的rest服务器发送凭据。
我将给定的密码用于bcrypt.hash,并将其与数据库进行简单的where子句比较,如下所示:
WHERE mail = $mail and password = $my_just_hashed_password
如果我在数据库中找到一个用户,我假设给定的密码是正确的。否则,我拒绝这个请求。
这几乎等同于首先从给定的唯一邮件中选择用户,然后从数据库中选择给定
浏览 13提问于2021-01-05得票数 2
回答已采纳
我有一个VPS运行Debian与灯安装。它没有太多的用途,所以我想安装OpenVPN作为我自己的个人VPN。但是,我希望使用TCP端口443 (以避免防火墙)。
如何配置我的服务器,使VPN不会干扰到同一台机器上的web服务器的SSL通信?还是会有冲突?
我计划使用OpenVPN公路战士安装程序来安装OpenVPN。
浏览 0提问于2016-08-27得票数 3
2回答
我们在决定应该在哪里找到不同的服务器。我们应该把他们放进非军事区吗?在我们信任的网络区域?等等..。关于这个主题已经写了很多文章,但是对于是否允许从DMZ访问内部网络上的数据库服务器,似乎有不同的看法。我希望你对我们的想法有意见。
基本上,在为客户服务时,我们有以下的服务器和服务:
📷
“应用程序服务(WCF)”基本上是我们进入数据库的入口点,它保存了所有的业务逻辑,并在将其提交到数据库之前验证一切正常。这里还有一个只读服务,为查询数据库进行了优化。
引入DMZ,我们应该把服务器放在哪里?web服务器和外部服务显然进入受防火墙保护的DMZ,只允许必要的端口。但是应用程序服务和数据库服务器呢?我
浏览 0提问于2013-06-26得票数 0
回答已采纳
1回答
网站每天都被黑客入侵,不时我们听到网站所有者的反应,并告诉“受影响的用户,他们的密码可能被泄露了”。大多数泄露信息的网站都知道哪些信息被泄露了,而且通常只影响到一小部分用户。
在我所有的设置中,我把所有的东西都保存在一个数据库中。如果黑客要获得对数据库的访问权限,我如何验证哪些已被破坏。
我的问题是:如何监视我的数据库是否有数据库泄漏?会有一些攻击矢量:用户可以在我的代码中找到一个bug,并访问我的管理界面。在这种情况下,一个日志会有帮助。但是,如果攻击设法连接到我的数据库并发送他想要的任何SQL查询,该怎么办?如果整个服务器被破坏了呢?他可以直接删除日志,甚至隐藏自己的行为。这样,直到用户开
浏览 0提问于2015-06-26得票数 4
回答已采纳
我正在开发一个带有数据库后端的web应用程序,它使用Django,可以从Internet访问。数据库将包含敏感信息,我想就我应该使用的保护数据的方法提出一些建议。
方法1:使用面向服务器的Internet上的公钥使用RSA-2048位加密来加密信息。然后,在单独的服务器(而不是面向互联网的)上,有另一个web应用程序使用私钥解密数据。
方法2:使用AES-256位加密对信息进行加密,在面向服务器的Internet上使用单个加密/解密密钥。
哪种方法更安全、更有效?
我在方法1中看到的问题是,虽然它是带带和大括号的方法,但通过web应用程序提交的数据一旦加密,就不能由最终用户进行修改。我在方法2
浏览 0提问于2011-10-12得票数 5
3回答
我有一个网页应用开发的背景,我试图提高我的安全游戏,但有一些事情,我发现混淆。
就像记忆硬散列密码是如何防止暴力攻击的?让我们假设我有一个webapp,它使用Argon2i哈希密码。据我理解,这很棒,因为它占用了大量的计算能力,而且“慢”。这是我迷路的地方。它是如何在引擎盖下工作的?谁在做计算工作?
当我试图想象它是如何工作的,这就是我想出来的。这仍然给我留下了很多问题,而且很可能是完全错误的:
用户密码被散列并存储。
黑客决定用暴力强迫一个帐户。
由于使用了内存硬散列,服务器需要很长时间来验证密码,因此需要花费太多的时间才能访问帐户。
基于上面列出的假设,我只能得出结论,计算工作发生在服务器
浏览 0提问于2020-08-24得票数 1
回答已采纳
我正在重新安装我的youtrack服务器,所以我需要备份文件附件,而不仅仅是数据库。文件附件存储在哪里?或者我怎么迁移他们?(我不能让两个服务器同时运行!)
浏览 2提问于2014-06-06得票数 0
回答已采纳
2回答
我读过的大多数例子都是从恶意网站开始的。让我说,我正在创建一个没有恶意意图的网站。网站什么时候变得容易被点击攻击?在没有XSS漏洞或我的服务器被破坏的情况下,这种情况会发生吗?如果是这样的话,是怎么做的?
浏览 0提问于2019-03-12得票数 3
回答已采纳
2回答
我正试图为我的Android应用程序构建自己的基于PHP的REST应用程序,我对在互联网上可以找到的所有不同的用户身份验证工具都有点困惑。因此,我想提出我的安全考虑,并希望得到一些反馈。
首先,我想说明我不想构建一个公共API,第三方可以注册一个API密钥,相反,我只希望我的应用程序的用户能够完成所有的注册/登录/发送请求。因此,我的计划如下:
当用户想注册时,我的应用程序首先使用Diffie-Hellman方法与我的服务器交换生成密钥。为此,我的服务器和应用程序存储相同素数和相同基(通常称为p和g)的信息。我的应用程序然后生成一个秘密,并创建一个公开密钥的p,g和秘密。公钥被发送到服务器,服
浏览 0提问于2014-07-29得票数 6
1回答
最近,我的许多朋友一直在谈论僵尸网络。他们说他们自己创造了。,很明显,我
我知道这都是违法的,所以我尽量不参与其中。
但我一直在想它们是怎么工作的。我在网上读过一些文章,也读过一些关于控制服务器和点对点通信的基本知识,但我仍然不太明白。有时我的朋友会问什么托管公司支持UDP欺骗,我不明白。C--他们只是从我假设的设备上发送UDP数据
在向DNS服务器发送数据时不欺骗源IP (例如)?
浏览 0提问于2022-01-26得票数 0
回答已采纳
我知道暴力攻击和DOS之间的区别。
如果一个web服务器没有帐户锁定,并且一些蛮力攻击被并行启动,并且这些攻击将使web服务器CPU繁忙,那该怎么办?这些攻击最终会降低web服务器服务其他合法请求的能力并导致DOS攻击吗?
浏览 0提问于2020-10-18得票数 2
回答已采纳
1回答
我正在使用更好的上限和https代理对我自己的网络执行MITM攻击。在我的客户端,我使用Google浏览器,在使用分析客户端TLS安全参数的脚本的同时导航到https://webs.com。
Bettercap将它的证书呈现给客户机-服务器连接,我接受证书警告(只是为了测试)。当我看到分析客户端TLS安全参数的脚本的结果时,客户机和服务器之间选择的参数具有很强的安全性等级。尽管MITM攻击成功地注入了他的证书,但是模式者在客户端和服务器之间仍然是安全的,这是怎么可能的?
浏览 0提问于2020-08-19得票数 -1
1回答
解释
我需要将表单数据从服务器A发布到B,使用AJAX将数据存储在数据库中,但我不知道如何安全地实现,以防止跨站点伪造攻击。
问题
我该怎么做?是否可以仅通过服务器A访问服务器B?
浏览 2提问于2016-04-19得票数 0
回答已采纳
我的数据库服务器上的iptables规则是:
-A INPUT -p tcp --dport 6432 -s 10.115.0.150 -j ACCEPT
我还有其他的规则(回环,等等),但我想知道这个特定的规则是否可以被“黑”。有人能“欺骗”IP地址(即使它是一个专用的网络地址--而且,如果它是一个公共地址,它会不会有所不同)?不一样的东西?
浏览 0提问于2013-06-02得票数 3
回答已采纳
如我们所知,我们应该使用一个缓慢的密码散列算法,而不是用于存储密码的快速算法,以阻止数据库被破坏时的暴力攻击。问题是,对于每一个登录,我们还需要运行这个缓慢的密码哈希算法,对于远程登录来说,如果很多人同时尝试这一点,那么远程登录可能是一个相当大的CPU负载。
今晚,我想到了如何解决这个问题(在一个新的密码认证协议中):
用户在其用户名中键入
客户端将用户名发送到服务器。
服务器向客户端发送一个salt (可能还有其他参数)。
用户输入其密码。
客户端使用服务器提供的salt (可能还有安全参数,例如迭代计数)从这个密码中计算一个缓慢的散列(类似bcrypt)。
客户端将此散列值发送到服务器。
浏览 0提问于2011-07-14得票数 23
回答已采纳
4回答
(更新)首先,我将我的应用程序和数据库放在不同的服务器上。连接它们很容易,但我不知道如何保护我的数据库服务器。
,这是我已经做过的:
在安装mysql_secure_installation后立即运行MySQL。因此,所有这些都得到了处理:
强64字符根密码
没有匿名用户
根登录仅在本地主机上
没有测试数据库
用于服务器间通信的非公用网络(在我的my.cnf中,有类似的内容:bind-address = 10.128.2.18,其中10.128.2.18是MySQL数据库服务器的专用网络IP地址)。
数据库的单独用户、不可猜测的用户名和64 char强密码与数据库一起使用;用户帐户的ip地址
浏览 0提问于2013-09-12得票数 6
回答已采纳
var mysql = require('mysql');
var connection = mysql.createConnection({
host : 'localhost',
user : 'meusername',
password : 'secret',
database : 'my_db'
});
connection.connect();
connection.query('SELECT 1 + 1 AS solution'
浏览 0提问于2018-03-14得票数 0
1回答
我正在使用Java编写一个服务器,它将从客户端接收数据(例如。并使用2012将数据存储到数据库中。
我知道对数据库的调用是阻塞的,因此在主NIO线程中编写代码将扼杀NIO的所有好处。
那我该怎么做?
另一个处理数据库请求的线程,但是我将如何向该线程发送请求,以及它将如何存储它们(队列?)
编辑:如果有人建议使用异步DB,请告诉谁有好的文档,并支持java和Microsoft。
最好是喜欢使用JDBC。
任何帮助都将不胜感激。
浏览 1提问于2015-06-09得票数 1
回答已采纳
我正在做一个设置,让用户在本地机器上扫描指纹,但是出于效率原因,模板被存储在中央服务器上。
由于验证SDK驻留在本地机器上,因此服务器需要将模板从数据库发送到本地计算机,以便SDK与它们匹配。
我想知道这是否是一种安全的方法,以及fp模板是否是安全敏感信息?总之,这个问题归结为以下一句话:“ISO/ANSI指纹模板格式可以用于电子或其他方式重新创建指纹吗?”
相关论文:基于细节点的指纹重建
浏览 0提问于2019-10-28得票数 3
回答已采纳
1回答
系统包含一个管理控制台和一个工作服务器集群。应用程序状态存储在数据库中。用户可以从管理控制台添加新作业,监视正在运行的作业等。工作服务器从db获取作业并进行处理。
现在,一些配置也存储在数据库中。配置也会加载到每个工作服务器上,并且大多数配置都是缓存的,因为配置不经常更改。
Admin能够更改配置(从管理控制台)。更改存储在数据库中。将更改推送到工作服务器上的最佳方法是什么?
到目前为止,我的想法:
在update/delete/insert配置表上添加触发器,并在某些辅助表中更新时间戳。在访问缓存之前,每个工作服务器都会检查这个辅助表以进行更改。缺点:还在访问数据库。
从管理控制台向
浏览 4提问于2013-03-11得票数 2
回答已采纳
我在我的数据库中有一些重复记录的问题,我相信这是由人们多次点击提交引起的。我正在使用Rails 3。
返回重复的对象而不是假的
我希望能够防止重复项被添加到我的数据库中,但希望在保存副本时返回被复制的对象,而不是false。原因是,如果有人点击几次提交,我希望他们被带到一个页面显示他们首先提交的项目,而不是一个错误的页面。
对重复的定义
我将一个重复定义为一个条目,其中除了ID以外的所有字段都是相同的,created_at > Time.now -1分钟
No JavaScript
我更愿意做这个服务器端,而不是仅仅禁用JavaScript中的按钮,因为我不认为数据库完整性是客户端的工作
浏览 0提问于2012-01-20得票数 1
回答已采纳
2回答
数据库保护:外部和内部
、、、
我的公司正在使用一个奇怪的数据库设置,我不知道它在安全性方面增加了什么。
我们的设置
外部世界防火墙 DMZ - Web 防火墙外部数据库防火墙内部数据库
web服务器只能与外部数据库通信。
无法从外部访问外部数据库。例如,即使我知道地址并且有有效的用户名/密码,我也不能从家里访问它。
内部数据库也不能从外部访问。
因此,外部数据库与内部数据库的唯一区别是web服务器可以访问外部数据库,而不能访问内部数据库。
我们的数据流
当用户在我们的网站上输入一些信息时,该信息将被发送到我们的When服务器。然后,The服务器将该信息插入外部数据库。然后,作业将定期运行,并将外部数据库上的新数据插入到内部
浏览 0提问于2016-01-29得票数 3
我正在学习SCRAM,并且喜欢它抵御各种攻击的能力(如这篇MongoDB博客文章中所提到的),特别是:
窃听-攻击者可以读取客户端和服务器之间交换的所有通信量。为了防止窃听,SCRAM客户端从不通过网络以明文形式发送密码。
重放-攻击者可以将客户端的有效响应重新发送到服务器。每个SCRAM身份验证会话都是由随机非the唯一的,因此协议消息仅对单个会话有效。
数据库危害-攻击者可以查看服务器持久内存的内容。在存储密码之前,先对密码进行咸化和反复散列,从而减轻数据库的危害。
恶意服务器-攻击者可以冒充客户端的服务器。攻击者无法在不了解客户端SCRAM凭据的情况下充当服务器。
我的问题特别涉及窃听和
浏览 0提问于2022-10-06得票数 1
回答已采纳
首先,我要说我不是sysadmin,也不是服务器上的知识,我只是一个开发人员,负责为我正在开发的SaaS应用程序设置基础设施,所以请原谅我没有完全理解所有的东西。我在这方面做了很多研究,但仍然需要一些指导。
我正在考虑在Laravel应用程序中使用DigitalOcean液滴。将有3个液滴,2个作为网站/服务器,而第三个被用作负载平衡器,所有这些将设置使用Laravel。将有一个数字海洋管理数据库,这两个服务器将连接到,以及使用数字海洋空间的资产交付通过他们的CDN。
Cloudflare将用于DDoS保护,但我想知道如何设置它,我想它最好放在负载均衡器上,因为这是查看/连接到站点时链中的第一
浏览 0提问于2020-02-25得票数 2
回答已采纳
1回答
我正在我们的数据库中散列和存储每个用户密码的salt:hash。web服务器是ASP.NET,到web.config中数据库的连接字符串是使用web.config加密加密的。
在存储之前,我还可以加密salt:hash。但是加密密钥也在web.config中,也是使用web.config加密加密的。
这让我觉得没有额外的保护。如果有人从我们的web.config获得未加密的连接字符串,那么他们也可以获得加密密钥。
我是错过了什么,还是这是一个额外的步骤,没有额外的保护?
浏览 0提问于2014-09-30得票数 0
回答已采纳
3回答
当服务器生成密码且用户无法更改密码时,我是否应该对门户的用户进行散列?逻辑上:
用户不能在任何其他地方使用这个密码,因为它是服务器生成的。
即使有人非法访问数据库,他们也可以更改密码并查看它,但这对他们来说毫无用处,因为它不在其他地方使用。
我说的对吗?或者哈希仍然应该实现.?
浏览 8提问于2015-06-20得票数 2
回答已采纳
2回答
我们有一个web应用程序,它由internet上的IIS web服务器和数据库服务器组成,IIS通过VPN链接访问该服务器。
我们的问题是,我们需要将连接字符串存储在某个地方(显然不能存储在数据库中)。
我注意到可以使用aspnet_regiis加密web.config连接字符串:
有人能评论一下这是多么的健壮吗?我们不想要的是数据库从互联网上被黑客入侵。
我担心的一件事是,aspnet_regiis用于解密和加密,并且安装在机器本身上。因此,如果机器被攻破,并且这个exe文件在那里,那么发现密码将不会那么困难。
因此,假设不推荐使用这种保护密码的方法,那么我还有什么其他选择。
请注意,如果
浏览 4提问于2015-08-04得票数 2
1回答
我正在使用aws ec2 t2实例。根据我的要求创建了很少的数据库。
在过去的几天里,我注意到我创建的新数据库被自动删除了。是否有可能自动删除?
当前,我还没有在phpmyadmin上设置任何密码。我也不知道这个服务器的IP。
有什么线索可以解释为什么会被删除,以及如何保护它呢?
浏览 0提问于2018-12-27得票数 1
当我分析在数据库中使用AES加密数据时,我读到了一些关于填充甲骨文攻击的东西,并且“害怕”它可能是一个严重的问题。但是,经过进一步的研究,我现在得出结论,在我们的具体情况下,这不应该是任何问题。我想验证这一点,因为我有一种感觉,不完全了解攻击方法。
我有以下情况:
客户端向应用服务器(Java)发送纯文本消息。这些消息应该存储在数据库中,而不是纯文本;它们必须被加密(使用静态加密密钥进行同步加密)。我们使用AES-128/CBC/PKCS5Padd,而加密则由应用服务器完成,而应用服务器是唯一知道加密密钥的实例。这意味着服务器不提供外部接口,该接口可用于发送(修改后的)加密数据包。因此,最终用
浏览 0提问于2015-04-21得票数 1
我最近发现我的网站有一个带有SQL注入漏洞的页面。在测试时,它很容易被像sqlmap这样的隐藏工具所利用。如何确定是否使用SQL注入攻击访问了站点数据库,可能是利用了这个漏洞?服务器正在运行Apache2.4.18和MySQL Ver 14.14远程5.7.16。
浏览 0提问于2017-06-04得票数 1
我已经在服务器客户上安装了SQL Server。
最近,SQL Server中的日志文件不断增加。我检查了这些日志的内容-参见这里:
📷
在我的应用程序中,我使用一个帐户连接到Server数据库。我试图禁用Server中的sa帐户。但是,错误仍在记录中。
也许我的数据库被攻击了?
浏览 0提问于2019-12-09得票数 -1
当我尝试向我的亚马逊网络服务EC2实例发出一些请求时,我得到了错误消息“连接无法被分配,因为my_dns_of_postgresql_database无法被主机名验证器PgjdbcHostnameVerifier验证”,在这种情况下我该怎么办? 我在一个AWS的EC2实例(一个标准的t2.micro)中部署了Glassfish 4.1 (一个war文件)中的一个服务器。这个项目在postgreSQL中调用Heroku的数据库服务器(数据库不在AWS实例中)。我尝试更改安全组规则以接受postgreSQL流量的入站和出站,但这不起作用。 当我没有发出请求时(只需输入dns地址、端口和war文件
浏览 78提问于2019-04-06得票数 0
我有一个android应用程序,用户可以输入他们的用户名和密码来登录应用程序
我也有一个服务器,其中PHP代码负责与服务器上的数据库检查用户名和密码
因此,场景如下:
1-在android应用程序中,用户输入其用户名和密码
2-在android应用程序中,应用程序连接到服务器的PHP文件
3-在服务器端,用户数据与服务器的数据库进行核对
如果允许用户输入用户名和密码,则也允许攻击者
攻击者可以自动重复更改用户名和密码,并连接到服务器的PHP代码
尽管攻击者输入的用户名和密码没有在数据库中注册,在这方面没有问题,但攻击者反复向服务器发出不同的请求,服务器必须响应用户名和密码无效
现在的问题如下:
浏览 2提问于2018-05-07得票数 0
1回答
目标
通过HTTP请求验证客户端。
验证客户端的WebSocket连接。
防止利用WebSocket连接(当网站上存在XSS漏洞时)。
我是怎么做的
步骤1客户端通过发出常规HTTP请求访问网站。Cookie用于验证客户端和服务器响应的JS snippet +AuthToken(生成和保存在服务器上):
(function() {
var ws = new WebSocket("wss://localhost:1000");
// application logic goes here
})();
步骤2服务器将新创建的WebSocket连接标记为不安全/未知。
浏览 0提问于2021-08-15得票数 0
回答已采纳
2回答
我有一个ASP.NET网站,它由GoDaddy托管在共享服务器上。
每周,有人会更改我的数据库中的值,并将广告文本添加到我的项目描述中。有一次,我将密码更改为数据库,它帮助了大约一个月。我的连接字符串存储在web.config文件中。
有什么办法提高我数据库的安全性吗?如果我将连接字符串硬编码在代码中,它会有帮助吗?还有其他更好的方法吗?
浏览 7提问于2015-07-19得票数 2
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
