我不太清楚OpenVPN背后的技术,所以我有一个关于OpenVPN安全性的问题:
如果我有client.p12 (PKCS#12)文件,并且这个文件被泄露(带有导出密码)给某个邪恶的人,该怎么办?此外,这个人可以转储我加密的VPN通信量(这是用泄漏的client.p12文件保护的)。
这是否意味着我的流量可以用MITM解密或黑客攻击?
或者这是不可能的,因为服务器密钥没有被破坏,而这个邪恶的人只能在服务器上授权我?
浏览 0提问于2014-07-18得票数 0
回答已采纳
我知道暴力攻击和DOS之间的区别。
如果一个web服务器没有帐户锁定,并且一些蛮力攻击被并行启动,并且这些攻击将使web服务器CPU繁忙,那该怎么办?这些攻击最终会降低web服务器服务其他合法请求的能力并导致DOS攻击吗?
浏览 0提问于2020-10-18得票数 2
回答已采纳
我理解使用HSTS运行网站可以帮助防止攻击者使用K架降低网站的等级以服务HTTP请求。
如果我们的web服务器不支持HSTS怎么办?
IIS为网站设置了一个只能要求SSL请求的设置。
这是否足以防止攻击者使用SSLstrip将HTTPS降级为HTTP?我假设the服务器将无法提供非HTTPS流量,对吗?
浏览 0提问于2017-10-17得票数 2
2回答
因为ssh攻击,一位客户给我发邮件说他们的供应商即将关闭服务器。
我登录到服务器,在/tmp中发现了许多ssh扫描进程和一些奇怪的文件。我不得不关闭它,因为我不知道该怎么办。在重新构建服务器之前,是否有方法可以了解这种情况是如何发生的,以防止再次发生这种情况?
浏览 0提问于2012-05-12得票数 6
我有一个OIDC提供程序,由于证书过期之类的mTLS问题,它不能使用相互的TLS身份验证(如果客户端没有旋转证书,并且它现在过期了怎么办?)客户端不能对服务器进行身份验证,例如通知服务器客户端拥有新的证书,因此客户端失去了整个访问权限,并且似乎毫无用处),或者如果OCSP不可用,或者如果我们没有mTLS的另一个端口,提示用户关于证书的信息。
但是mTLS给了我们一个很大的安全改进:证书限制的访问令牌。
与DPoP相比,它具有很大的优势:没有DPoP令牌,不可能重播攻击。
所以我考虑了一下修改过的DPoP。我们可以创建自签名的x509证书(由我们使用private_key_jwt方法进行身份验证
浏览 0提问于2022-12-29得票数 1
许多远程终端到服务器身份验证协议使用服务器发送的随机数字作为用户加密并发送回服务器的挑战。这样,对手就不能执行重放攻击,因为被加密并发送到服务器的数字(以及其他参数)事先是随机的和未知的。
但是,如果对手总是记录这条线,并将他/她遇到的每个随机数映射到后面的加密通信量,该怎么办?
如果对手遇到服务器先前发送的随机数,他/她将能够重播通信量。
那么,为什么不使用时间戳作为一个挑战呢?时间戳总是在增长,并且总是和以前的时间戳不同吗?
为什么使用随机数比时间戳更好?
编辑:假设客户端和服务器共享相同的密码(用户密码),因此在不知道用户密码的情况下,对未来的时间戳进行加密对于重放攻击者来说是不可能的。
浏览 0提问于2019-06-25得票数 1
背景:我正在开发一个移动应用程序(在线聊天),它使用指向后端服务器的持久TCP连接。在上一个版本中,我们使用了一个众所周知的加密方案来保护有效载荷,并使用共享密钥进行签名。这为防止数据篡改和逆向工程提供了足够的保护。但是流量仍然容易受到重放攻击:有人可以捕获网络流量并重放它,而服务器会接受请求,因为它不知道它是真实的还是重放的。为了对抗这种情况,引入了时间戳和非and,以防止重播攻击。
一切都很好。后来,决定使用TLS (传输层安全)保护客户端和服务器之间的所有通信。实现了TLS,为了提供额外的保护,防止中间人攻击,我们将服务器的公共证书固定在客户端上。
这就引出了一个问题:是否仍有必要使用自
浏览 5提问于2017-02-17得票数 2
我刚用默认菜单加密了我的Android手机。我被要求要一个密码(4位数)。你觉得这是个好做法吗?解密文件系统的尝试次数有限吗?
如果攻击者转储数据并尝试每一个从0000到9999的组合怎么办?(这应该可以在几秒钟内实现)。
浏览 0提问于2015-08-13得票数 4
1回答
如何防止对服务器的自动请求?
、、、、
如何防止自动请求?这不是重复的问题。现有的答案是不会妥协的。
如果攻击者使用的程序每分钟发出一百万次请求,该怎么办?或者程序可以使用各种代理或vpn,并且可以向服务器请求数百万个请求。由于负载过重,服务器会变慢。如何防止这种情况发生?
IP表每秒能处理数百万次请求吗?
浏览 17提问于2020-06-04得票数 0
1回答
每次用户登录时,他都会得到一个新的access_token和一个新的refresh_token。
当他的access_token过期时,他使用他的refresh_token获得一个新的access_token。
如果攻击者能访问他的refresh_token.然后根据OAuth2.0 :
授权服务器可以使用刷新令牌旋转,其中每个访问令牌刷新响应都会发出一个新的刷新令牌。先前的刷新令牌无效,但由授权服务器保留。如果一个刷新令牌被破坏并随后被攻击者和合法客户端使用,其中一个将显示一个无效的刷新令牌,这将通知授权服务器被破坏的情况。
因此,基本上,如果使用任何refresh_token两次,
浏览 1提问于2016-06-01得票数 1
我不知道这是否是正确的论坛,但我有一个域名托管(共享托管)的godaddy.com,它已经被一群孟加拉国黑客黑/污损。请注意,它只是一个由GoDaddy托管的域。我还没有开发/建造这个网站。这是我的网站-
http://anujitnene.com
我接下来该怎么办?我怎样才能防止这类攻击?帮帮忙吧。
编辑:
我忘了提全部细节。实际上,域只与GoDaddy一起停放。我之前已经更改了它的DNS服务器,以指向我购买主机的Dreamhost。基于下面收到的两个评论,我将我的DNS设置返回到GoDaddy,它解决了这个问题。
浏览 0提问于2015-05-26得票数 -1
2回答
假设有客户机-服务器机器。
在客户端机器上,我们生成了一个Server,并在服务器机器上存储了相同的密钥。
这意味着,当客户端使用SSH连接服务器时,它将不需要密码。
如果客户端机器遭到黑客攻击,那么服务器机器就容易受到所有攻击?
浏览 0提问于2017-07-12得票数 0
Django通过cookie在用户机器上设置CSRF保护令牌。然后,它在POST请求中请求令牌。如果这两者不匹配,则返回403。
如果手动更改在请求中发送的cookie和令牌值,则请求将被接受。Django不验证服务器是否设置了令牌值。只要cookie和请求匹配,它就不会返回403。
这看起来不安全。如果另一个网站欺骗我的域并设置一个新cookie,然后在请求中发送新cookie的CSRF令牌值,怎么办?Django将对两者进行比较,并认为请求是合法的。
他们是否有以不同方式实现这一目标的包,还是我遗漏了什么?
浏览 0提问于2013-12-17得票数 12
回答已采纳
可能重复: 我的服务器被黑客入侵
我现在快疯了,我不知道该怎么办。
我在谷歌上搜索了一些黑客,他们用.htaccess将我的网站重定向到他们的网站以获得流量,现在我从昨天起就遇到了这个问题,我不知道该怎么办.
我也做了一个搜索,发现一些人有同样的问题,建议是做一个干净的安装我的网站,我已经这样做了。
我的Wordpress网站是最新的,以及插件。
我检查我的许可一切都是好的。
我检查了数据库一切都还好。
密码被更改,他们仍然可以做同样的事情。
.htaccess正被重定向到http://baidu.com,但在此之前,它实际上是重定向到.rus站点。
如有任何建议请:
浏览 0提问于2012-06-10得票数 -1
回答已采纳
1回答
朋友有一个域名,该域名通过域名注册控制面板重定向到另一个域名。几个小时前,服务器速度大大减慢。当他移除重定向服务器时,它将正常运行。
域名是否经常被锁定?域名是相当不错的,有没有可能有人试图让它放弃呢?在这种情况下该怎么办?
注意:服务器是windows 2008操作系统。
浏览 0提问于2011-07-17得票数 -4
8回答
如果我的服务器遭到黑客攻击,黑客查看了我的哈希密码,并知道我使用的是什么盐,那该怎么办?
这有什么值得担心的吗?
浏览 2提问于2010-12-16得票数 1
回答已采纳
我对我的商店使用Magento感到头疼,我的商店很容易被机器人或其他人侵入。他们经常添加一些脚本和文件来发送垃圾邮件。
我认为它们是从旧文件中来的,所以我尝试更新所有的加载项和Wordpress (与Magento集成)。我更新所有没有Magento文件,我得到了1.8CE版本。我试着用一些我发现的博客上的安全技巧来保护我的商店。当我这么做的时候,我觉得我的问题已经结束了!!但今天,我打开了我的主机提供商的邮件,我的服务器发送了大量垃圾邮件。
有办法保护我的店铺免受未来的攻击吗?当我清理我的商店时,我该怎么办?
浏览 0提问于2015-05-12得票数 0
1回答
使用不带证书的SSL
、、、、
嵌入式设备通常需要传输数据的安全性。想想你的无线路由器。您希望在连接到路由器时使用SSL来保护密码。但设备制造商不能指望用户安装证书(麻烦太多了)。
因此,我们有一个问题,如何在嵌入式设备中使用SSL,但不需要在每个设备中安装唯一的证书。自签名证书可以工作,但浏览器警告会吓到普通用户。
SSL提供了两种功能: 1.验证服务器的身份2.加密通信。
对于嵌入式设备,我们可以不使用第一种设备,但我们通常真的想要第二种。因此,我们想要的是要么使用没有证书的SSL,要么能够在没有警告的情况下使用自签名证书。浏览器中的自签名证书警告会吓到普通用户.那该怎么办呢?
似乎没有一个好的解决方案,嵌入式设备使用S
浏览 0提问于2014-11-25得票数 0
3回答
我正在创建一个完全基于解析服务器的vue单页应用程序,并使用它的javascript sdk在客户端进行数据操作。对于登录/注册,我使用Parse.User.logIn/signUp并使用javascript键进行身份验证。
现在,登录之后,浏览器使用installationId和sessionToken向解析服务器发送rest api请求。这是可以的,但是如果任何用户决定创建一个机器人来用垃圾数据填充解析服务器,该怎么办?我检查了使用/复制这些安全令牌/密钥,我可以通过向解析服务器发送rest api请求来轻松地创建对象。我可以阻止创建类,但如何防止重用来自其他介质的会话令牌?
浏览 1提问于2018-08-10得票数 1
假设我使用我的Yubikey OTP登录到多个服务器,它就会被破坏。我去登录那个受损的服务器,然后输入我的OTP。显然,一旦验证了密码,它就不能被重用,但是谁能说服务器必须验证它呢?恶意软件可以继续复制自己,尝试使用Yubikey、OTP等登录到另一台服务器,这样就可以在更多的服务器中复制自己。这有可能吗,还是我遗漏了什么?
浏览 0提问于2020-12-26得票数 1
2回答
野蛮的ssh登录攻击减慢了我的服务器速度。除了我的内部网络之外,我已经阻止了国外ips的ssh (iptables,-A输入-p tcp -dport 22 -j下降),但是加载已经上升到20,我该怎么办?
浏览 0提问于2016-08-14得票数 -2
除了使用DHE实现PFS之外,当服务器的私钥被泄露时,我们希望尽可能少地被公开。那么,RSA在DHE_RSA密码套件中的用途是什么呢?在密钥交换期间,服务器签署了什么?
浏览 0提问于2013-12-01得票数 3
回答已采纳
许多公司在员工的笔记本电脑上安装了一个UEM代理,以跟踪笔记本电脑的健康状况。如果这个UEM将“健康”状态发回给服务器,他们允许笔记本电脑连接到内部网络。
如果设备受到破坏,攻击者将获得OS级权限。我们如何防止攻击者杀死UEM代理并向服务器发送假的“健康”通信量?
我的想法:
流量可以使用服务器的公钥加密,但这并不重要,因为攻击者可以通过OS访问在您的计算机中获取公钥。
在启动服务器会话之前,使用Yubico (U2f)对代理进行身份验证。这有点帮助,因为这防止了会话复制攻击,攻击者只能执行会话传递。(私钥不存储在系统上)但是,如果攻击者修补代理而不是杀死它怎么办?
不相信你的UEM状态?
浏览 0提问于2018-12-02得票数 0
我最近安装了Ubuntu18.04并设置了网络,并配置了NIS客户端以从服务器获取用户信息。
问题是,当我通过ssh访问此服务器时,从服务器获取shell的速度太慢。我一直在寻找解决这个问题的方法,并从/var/log/auth.log中找到了这个错误消息,但是我不知道如何去做。我该怎么办?
Jun 13 08:55:08 server sshd[1716]: pam_systemd(sshd:session): Failed to create session: Connection timed out
浏览 0提问于2019-06-14得票数 2
假设我有一个发出API请求的nodejs脚本。服务器有哪些方法来识别我的身份?我知道这是如何与个人浏览器设置,cookies等,我也知道IP地址正在使用。但是,如果我不是从浏览器发出请求,而是通过一个简单的nodejs脚本发出请求,该怎么办呢?留给服务器的方法有哪些?
浏览 4提问于2018-12-10得票数 0
3回答
三HPE dl380 GEN9服务器
HBA模式
在每个服务器上,一个物理磁盘用于os,6个物理磁盘直接用于存储空间。
windows server 2016并启用存储空间,直接在其上显示三面镜像。
最近,我的三个物理磁盘退役了,所以我只是用新的物理磁盘替换了它们,但是现在我有了以下错误
我的三个物理磁盘上的瞬态错误。
get物理磁盘的结果
📷
获取虚拟磁盘的结果
📷
我该怎么办?我做了所有的事情,但没有结果。
📷
📷
📷
浏览 0提问于2017-05-30得票数 2
2回答
我不理解存储/处理密码的一些概念。
例如,我们的网站为移动应用程序(iOS、安卓等)提供了一个公共应用程序接口,并提供了身份验证。
毫无疑问,我们不能在数据库中存储原始密码,也不能在客户端和服务器之间发送原始密码,所以我们使用哈希和盐。
这样,我们在客户端加密密码,并将散列发送到服务器。但是,如果“黑帽”窃取了密码散列,并用它向服务器api进行身份验证,该怎么办?
我应该在客户机上散列密码,发送散列,然后在服务器上再次散列它们吗?
这个问题的常见解决方案是什么?
非常感谢,提前。
浏览 2提问于2014-03-06得票数 1
1回答
因此,我想实现服务器,它验证注册与captcha。首先,我考虑将captchas存储在服务器中,但后来我认为它会在缓存、内存方面遇到麻烦,如果我需要将它写入文件,等等。但是我有了一个天才的想法(可能是其他人已经做了),不如把captcha发送给客户,也发送加密的答案,当用户回答时,他发送captcha (或者它的摘要,如果它再大一点),我可以简单地从客户端解密答案。砰,我根本不需要存储海量的图像,而且我可以根据自己的意愿来放大这些图片!(不同的服务器可以发送captcha,不同的服务器可以为响应提供服务)。
现在,我有一个问题。我需要一个现在来加密脂肪钠中的东西。就像在这里,http://do
浏览 0提问于2015-10-27得票数 1
回答已采纳
1回答
我知道每个套接字都有一个缓冲区来读取或写入数据。例如,在Linux服务器上,我们可以使用命令cat /proc/sys/net/ipv4/tcp_rmem和cat /proc/sys/net/ipv4/tcp_wmem来检查缓冲区大小。
据我所知,TCP协议的一些算法,如滑动窗口,需要使用套接字的缓冲区。
如果我是对的,我想知道如果套接字缓冲区的大小不够的话会发生什么,例如,如果一个巨大的数据包即将到来怎么办。是否有其他缓冲区(OS级或网络接口卡/硬件级)可供使用?如果不是,这是否意味着一些数据必须被放弃?
浏览 1提问于2019-12-11得票数 1
回答已采纳
为了这一目的,我要画一幅画:
系统管理员维护和备份具有敏感财务信息(帐号、名称、SSN等)的客户端的生产服务器。该机器是Windows 2003 R2 64位Itanium服务器,备份Exec 13d作为备份解决方案。备份轮转是在使用LTO3未加密的3周轮转时的完整备份。为了灾后恢复的目的,每周一盘磁带被运送到另一个地点。
关切事项:
,如果磁带在传输过程中丢失了怎么办?
除了与客户必须披露他们的信息已被取代的公关问题外,用于身份欺诈的可用信息被抽象的实际可能性有多大?我在上面画这幅画是因为从磁带的查找者的角度来看,有很多未知的东西(除了备份磁带的日期的标签)。据他们所知,这个备份可能来自*n
浏览 0提问于2012-03-02得票数 2
回答已采纳
1回答
关于加密的使用,我有一个问题:
我设置了一个Ubuntu12.04服务器,将其用作路由器、备份文件服务器和set服务器。当然,将备份放在与web服务器相同的系统上可能不是最好的主意,但这只是为了私人使用,我不想花太多的钱。
因此,我认为为备份用户帐户设置/家庭加密并不是个坏主意。但在同一时刻,另一个问题出现了:它仍然有意义吗?
通过SSH,根登录被禁用。并且访问该用户的/home文件夹的权限减少到用户本身。
因此,访问/home文件夹的唯一方案是将键盘/显示连接到服务器,以根用户身份登录并更改为/home。还是我监督过一个场景?如果我是对的,您只能作为备份用户从“外部”访问/home-文件夹。
浏览 0提问于2012-09-16得票数 4
回答已采纳
如果我要创建一个托管在我家里的DNS服务器,那么我可以将它用于我的VPS服务器;我是否制造了任何可能被来自世界各地的未知客户端滥用的安全威胁?
TL博士:如果我设置了一个DNS服务器,打开到互联网的端口53安全吗?
浏览 0提问于2017-09-08得票数 2
回答已采纳
我需要为MySQLd打开网络,但每次我这样做时,服务器都会被无情地遗忘。一些恶意的密码猜测脚本开始在服务器上敲打,在端口3306上打开连接,并永远尝试随机密码。
我如何才能阻止这种情况的发生?
对于SSH,我使用denyhosts,它工作得很好。有没有一种方法可以让denyhosts与MySQLd协同工作?
我还考虑过更改运行MySQL的端口,但这并不理想,而且只是权宜之计(如果他们发现了新的端口怎么办?)
还有没有别的主意?
如果不同,我在FreeBSD 6.x上运行MySQL 5.x。
浏览 1提问于2009-09-22得票数 5
经典密码,如Vigenère密码,是弱的,不再使用。它们可以通过频率分析来打破,这是众所周知的事实.
然而,频率分析往往取决于捕获的密文数量和(或)它们的重复。如果密文在加密明文之前被哈夫曼编码、zlib或lzma等算法压缩了怎么办?为了获得更好的安全性,假设纯文本中没有常量标头、魔术号或任何标识符。
通过频率分析,压缩使攻击更加困难吗?
浏览 0提问于2015-03-13得票数 5
我很好奇,如果不启用证书主机名检查,将打开客户端时会遇到哪些漏洞,并且我找到了RFC 2818,3.1节:
通常,HTTP/TLS请求是通过取消引用URI生成的。因此,客户端知道服务器的主机名。如果主机名可用,客户端必须根据服务器的证书消息中显示的服务器标识来检查主机名,以防止中间人攻击。
这种特殊的MITM攻击在实际中是如何工作的?是否有可能描绘或解释一个攻击场景,以及它是如何一步一步地进行的?
例如,MITM维基百科页面遍历了MITM攻击的步骤,这对于理解MITM一般是有用的:https://en.wikipedia.org/wiki/Man-in-the-middle_attack#Ex
浏览 0提问于2023-05-09得票数 1
回答已采纳
stratum+tcp://binyu.crypto%40gmail.com:x@xmr.pool.minergate.com:45660/xmr.服务器突然忙于运行1个或多个进程实例:./yam -c 1 -M AWS这个矿门是某种“加密货币GUI挖掘器”,所以这是令人担忧的。我已经终止了进程。但找不到这样的问题:我的服务器是否被黑客入侵并被用作某些在线货币服务器?
浏览 3提问于2016-11-28得票数 1
1回答
保护客户端数据的技术
、、、
我正在构建一个Rails应用程序,它需要一些中等程度的处理。为了扩大应用程序的规模,我尝试在浏览器上卸载处理。这是一个游戏,用户必须回答一个问题。当需要对答案进行验证时,就会出现中等强度的处理。为了验证答案是正确的,客户端需要存储答案,或者至少能够从服务器请求答案,但在某些情况下,客户端javascript需要比较用户的答案和正确的答案。为了防止作弊,我需要在客户端找到正确的答案?
Things我试过
我尝试过散列应答数据并将其嵌入到HTML中,但不幸的是,我需要访问未散列的应答数据,因为它的值是在处理过程中使用的。
我尝试使用AJAX从服务器请求应答数据,但我可以使用许多工具检查JS
浏览 5提问于2012-12-02得票数 0
1回答
用乌贼防止MITM攻击
、、、、
有两种选择,最好的方法是什么?
我也想
创建一个检测MITM攻击的squid代理服务器
或
创建python应用程序,以检测本地证书存储和从服务器发送的证书之间的差异。如果存在差异,请在客户端显示错误,说明防止了可能的MITM攻击,然后将用户重定向到真实站点。这个是可能的吗?我能用什么编程语言来解决这个问题?
浏览 0提问于2021-03-21得票数 -1
如何阻止除谷歌机器人以外的所有机器人。我用的是云彩,但我很困惑,该怎么办。
我要所有的机器人,除了这些面对云彩JS挑战。截图会有帮助的。同时,用户/访问者也将面临JS挑战。
浏览 0提问于2019-07-25得票数 1
回答已采纳
1回答
检测浏览器用户代理伪造
、、、
尽管人们应该使用从合法站点下载的经过批准的浏览器来使用这些浏览器是很重要的,但是服务器是否有任何方法来检测是否有人在欺骗浏览器(用户代理)?
我的问题是特别提到安全问题。如果有人创建了一个浏览器(用户代理),并且不尊重一些契约(例如,cookies的相同来源策略)来利用那里的漏洞,该怎么办?这个不合法的浏览器可以声称它是一个真正的用户代理,方法是用在火狐或Chrome中使用的标准值填充User-Agent头。
在服务器端是否有任何方法来检测用户是否在使用欺骗的用户代理,以便服务器可以在需要时采取反措施?或者,这是否是使用浏览器的个人的绝对责任,只使用经批准的浏览器(服务器无法检测到)?
浏览 0提问于2020-07-25得票数 2
回答已采纳
var mysql = require('mysql');
var connection = mysql.createConnection({
host : 'localhost',
user : 'meusername',
password : 'secret',
database : 'my_db'
});
connection.connect();
connection.query('SELECT 1 + 1 AS solution'
浏览 0提问于2018-03-14得票数 0
1回答
最近,我的许多朋友一直在谈论僵尸网络。他们说他们自己创造了。,很明显,我
我知道这都是违法的,所以我尽量不参与其中。
但我一直在想它们是怎么工作的。我在网上读过一些文章,也读过一些关于控制服务器和点对点通信的基本知识,但我仍然不太明白。有时我的朋友会问什么托管公司支持UDP欺骗,我不明白。C--他们只是从我假设的设备上发送UDP数据
在向DNS服务器发送数据时不欺骗源IP (例如)?
浏览 0提问于2022-01-26得票数 0
回答已采纳
1回答
假设我有一个web应用程序,在其身份验证方案中使用了JWT令牌和CSRF令牌。据我所知,它是这样运作的:
当用户登录时,客户端发送一个登录request.。
服务器将签名的JWT令牌设置为一个cookie,其响应头中有Set-Cookie ... ;Secure ;httpOnly。这可以防止XSS攻击,因为Javascript.无法访问cookie。
服务器还发送没有httpOnly设置的CSRF令牌,以便JavaScript code.可以读取它。
当客户机提出任何未来的请求时,JWT cookie将自动发送,CSRF必须在请求头中设置。这应该可以防止CSRF攻击,因为CSRF cook
浏览 0提问于2018-11-29得票数 1
2回答
我一直在玩Varnish服务器,我的网页很快就被打开了,它在谷歌的Pagespeed和100 @Pingdom中获得了97分。我使用了Varnish (代理nginx),NGINX (只有本地可用的代理,代理*.php到PHP (但我想转到HipHop proxies ))。
因此,由于我的页面速度很快,并且只使用了大约500/1GB的Ram,所以我让我的一个朋友在这台机器的HTTP服务器上执行压力测试。我配置了以下反DDoS机制:
iptables防火墙限制连接/秒
一些更多的iptables检查(会话以SYN、ICMP等开头)
清漆缓存
重新编码小网页,以存储一些值,这些值通常会在备用ph
浏览 0提问于2012-05-01得票数 1
2回答
我有一个网页,需要做以下工作:
使用JavaScript动态创建HTML片段
打开一个新的窗口
在新窗口中显示HTML
我的第一种方法使用document.write将HTML复制到窗口中。这在大多数情况下都有效,但是当原始窗口设置了document.domain时,它会给Internet带来问题。另外,document.write现在往往不受欢迎。
因此,我的第二种方法是将放入隐藏的表单中,将表单的目标设置为新窗口,并发布表单。这意味着我需要服务器上的脚本来响应表单,方法是回显POSTed内容。
但这是危险的,因为有人可能会提出请求,在内容中包含<script>
浏览 2提问于2011-09-07得票数 0
1回答
我正在运行一个DigitalOcean.com虚拟服务器,其中包含几个WordPress站点的典型Ubuntu堆栈。当然,每隔一两周,MySQL服务似乎就会崩溃。如果我重新启动MySQL或服务器,就可以了。我想我被一些导致MySQL连接问题的黑客严重打击了。
有谁知道自动重新启动MySQL服务的方法吗?我正在考虑使用夜间CRON作业重新启动MySQL,但似乎应该有更好的方法。也许我没有正确配置MySQL?我必须找到MySQL config/ini文件。
编辑:我很快就会挖掘错误日志。也许它就像配置更改一样简单。
浏览 0提问于2014-08-02得票数 0
1回答
一个朋友在问我关于mod_proxy模块的事,
他们有一个最近被mod_proxy攻击的服务器,在检查了他的日志之后,他说他不会受到那些攻击,因为他们有一个更新的版本.
因此,为了避免进一步的攻击,他询问服务器上是否需要这些模块:
mod_proxy.so
mod_proxy_connect.so
mod_proxy_ftp.so
mod_proxy_http.so
mod_proxy_ajp.so
mod_proxy_balancer.so
或者他可以安全地移除它们..。
谢谢!
浏览 0提问于2011-08-18得票数 0
回答已采纳
我正在开发一个文件上传服务。我希望我的用户被限制的总上传文件大小,即他们有配额上传的文件。因此,当用户开始上传新文件时,我希望检查可用的配额。最简单的方法是获取POST请求的“内容长度”头值,并根据剩余的用户配额对其进行检查。但我担心我是否能相信“内容长度”的价值。如果一个坏人在“内容长度”标题中指定了一个小值并开始上传一个巨大的文件,那该怎么办呢?
在读取输入流(并将文件保存在磁盘上)时,我是否应该另外检查它是否是多余的( Web服务器应该检测到这种情况)?
浏览 3提问于2014-06-17得票数 7
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
