腾讯云
开发者社区
文档
建议反馈
控制台
登录/注册
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
精选内容/技术社群/优惠产品,
尽在小程序
立即前往
文章
问答
视频
沙龙
2
回答
是否安全,即使客户端机器被黑客攻击?
、
、
、
假设有客户机-服务器机器。 在客户端机器上,我们生成了一个Server,并在服务器机器上存储了相同的密钥。 这意味着,当客户端使用SSH连接服务器时,它将不需要密码。 如果客户端机器遭到黑客攻击,那么服务器机器就容易受到所有攻击?
浏览 0
提问于2017-07-12
得票数 0
1
回答
同源策略是浏览器限制,服务器端安全吗?
、
、
我研究过并知道同源策略(SOP)是由浏览器处理的基于客户端的策略。服务器负责将列表返回给浏览器,允许来源和浏览器检查它与当前来源,然后决定是否读取响应。也许一些案例浏览器会发送一个预照明请求来检查。但所有这些都是浏览器(客户端)的工作。服务器仍然接收来自不同域的请求并执行它,然后发送响应。而SOP不适用于来自另一个服务器的请求(服务器对服务器的请求),请求来自邮递员...所以我认为使用SOP服务器还是不安全的。 有没有人能多解释一下。谢谢。
浏览 20
提问于2018-08-11
得票数 1
回答已采纳
2
回答
是否有可能欺骗或冒充目标(服务器) IP?
、
、
、
是否有可能欺骗或冒充服务器的IP?这样,希望连接到该服务器的IP的客户端实际上会连接到攻击者的计算机?但是攻击者仍然能够联系实际的服务器。 这都是基于TCP/IP的,没有名称解析,所有的机器都在同一个网络或互联网上(没有NAT-ing)。 我正在开发一个网络应用程序,我想构建一些身份验证。 我需要做的是通过IP认证服务器。换句话说,我想确保当我打开一个指向一个IP地址的HTTPS URL时,它会进入有那个IP的机器。 其他注意事项:所有的通信都将通过TLS,但证书将被盲目地接受。
浏览 4
提问于2014-07-04
得票数 0
回答已采纳
1
回答
继续添加到hosts.deny +iptable中
、
、
、
我不明白为什么会出现这种情况。在我的本地网络上,如果我单击10-20 apache/http链接,我的服务器将决定添加我的hosts.deny文件,并在iptables上阻止我。 它不只是apache,它似乎发生在任何一种流量,这是通过洪水的方法。就像我用亚音速,如果我改变音轨10-20次,它就能做到。 我假设我有某种防火墙,它位于正在执行此操作的服务器上。但是,我在/var/lib中没有fail2ban或任何denyhost。 我想不出为什么我总是被添加到hosts.deny/iptables中。 谢谢
浏览 0
提问于2014-06-11
得票数 0
1
回答
OAuth“状态”是否减轻任何真正危险的攻击?
、
、
我使用来更好地理解OpenID连接流,它可以这样说来验证state参数: 用户被重定向回客户机,您将注意到URL中有一些额外的查询参数: ?state=7ymOWcwttpCfDNcs&code=Tav2TPBjSNvR8aowA3oe 由于攻击者可以创建类似于此的GET请求,因此攻击者可以向您的应用程序提供垃圾授权代码。您需要首先验证state参数是否与此用户会话匹配,以确保您启动了请求,并且只发送了为您的客户端准备的授权代码。 基于这一解释,我们使用状态参数防止的唯一“攻击”似乎是攻击者发送我们的应用程序错误代码,我们根据授权服务器检查坏代码,然后被拒绝。 但是afaict
浏览 0
提问于2018-09-22
得票数 1
回答已采纳
1
回答
恶意服务器会破坏Yubikey OTP并使用它登录到其他服务器吗?
假设我使用我的Yubikey OTP登录到多个服务器,它就会被破坏。我去登录那个受损的服务器,然后输入我的OTP。显然,一旦验证了密码,它就不能被重用,但是谁能说服务器必须验证它呢?恶意软件可以继续复制自己,尝试使用Yubikey、OTP等登录到另一台服务器,这样就可以在更多的服务器中复制自己。这有可能吗,还是我遗漏了什么?
浏览 0
提问于2020-12-26
得票数 1
1
回答
摘要身份验证如何防止重放攻击?
、
、
、
、
我在stackoverflow上发现了很多问题,其中提到了摘要身份验证。我找不到摘要认证是如何防止重放攻击的?我使用fiddler工具拦截对服务器的http请求。我使用相同的工具向服务器重放请求,但服务器要求进行身份验证。 我需要准确地了解如何实现防止重放攻击。服务器如何能够检测到任何http请求的重播? 任何链接/资源都将不胜感激。
浏览 1
提问于2010-10-27
得票数 3
回答已采纳
1
回答
如何确保这种简单的无线电通信不受重播攻击
在我目前的项目中,我很少有TCP 32‘S通过TCP连接到服务器。这些静电除尘器分布在300米的范围内。 每小时一次,服务器请求(随机)选择ESP,以指示空中的帧。这些被称为"BEACONERS“ 同时,服务器要求很少其他(随机)选择的ESP嗅探空气和寻找这些信标,一旦找到-返回到服务器。这些叫做“嗅探器”。 他们每个人(暗影者,嗅探者)都有30秒的“上电视”。 信标帧以纯文本形式输出,它由一个只有信标者和服务器才知道的值组成。这个值随着时间的推移而变化,信标者从来不会发送相同的值两次。 一旦被嗅探器接收到,信标唯一的id和值将返回给服务器,然后服务器验证如下: 信标者的身份证被归还给
浏览 0
提问于2021-11-24
得票数 0
回答已采纳
2
回答
允许公众访问DNS服务器是否构成安全威胁?
、
如果我要创建一个托管在我家里的DNS服务器,那么我可以将它用于我的VPS服务器;我是否制造了任何可能被来自世界各地的未知客户端滥用的安全威胁? TL博士:如果我设置了一个DNS服务器,打开到互联网的端口53安全吗?
浏览 0
提问于2017-09-08
得票数 2
回答已采纳
3
回答
SYN洪水仍然是一种威胁吗?
、
、
最近我读到了不同的拒绝服务方法。一种突出的方法是SYN洪水。我是一些不太好的论坛的成员,有人在卖一个python脚本,它会使用带有欺骗IP地址的SYN数据包来DoS服务器。 但是,如果将SYN数据包发送到带有伪造IP地址的服务器,目标服务器将将SYN/ACK数据包返回给被欺骗的主机。在这种情况下,被欺骗的主机不会返回一个RST数据包,从而取消75秒的长等待,并最终失败地尝试DoS服务器? 编辑:如果我不使用SYN曲奇呢?
浏览 0
提问于2010-05-15
得票数 5
回答已采纳
1
回答
ASP.Net 1.1视图状态安全性
、
在ASP.Net 1.1中,终端用户是否可以在将视图数据发送回服务器之前更改视图数据,例如,使其看起来像是在一个不存在的下拉列表中选择了一个项目?我尝试过使用firebug操作下拉列表中的值,但服务器似乎忽略了这一点,我假设是因为视图状态显示该项不存在,如果可以更改视图数据来实现这一点,那么可能会出现更大的问题。 我之所以这样问,是因为我被要求检查我们的一个应用程序的安全性,如果上述情况可行,可能会存在很大的安全漏洞。 我只是想澄清一下,我不是在问怎么做,我不想破坏别人的软件,我只想知道它是不是需要关注的东西。 希望这是有意义的。 谢谢
浏览 1
提问于2009-06-26
得票数 3
回答已采纳
1
回答
欺骗facebook应用程序ID
、
、
、
跟进中概述的设计,特别是中列出的问题:缓解措施是什么? 具体来说,我有一个web服务器,它公开了一个由移动应用程序使用的REST。我希望用户能够使用Facebook认证服务器(通过应用程序)。 现在,一个明显常见的流程是,应用程序将用户重定向到Facebook,在那里他们将使用自己的凭证登录。然后,应用程序将获得一个令牌,并将其发送到服务器,服务器将使用图形API验证令牌。 但是,服务器如何确保令牌真的来自应用程序呢?具体来说,如何防止恶意应用供应商重用我的应用程序ID?毕竟,应用ID被硬编码到应用程序中,因此可以被恶意应用程序提取和使用。如果用户使用Facebook登录恶意应用程序,那么恶意
浏览 1
提问于2017-04-09
得票数 0
回答已采纳
1
回答
在XSS漏洞情况下保护Websocket连接
、
、
、
目标 通过HTTP请求验证客户端。 验证客户端的WebSocket连接。 防止利用WebSocket连接(当网站上存在XSS漏洞时)。 我是怎么做的 步骤1客户端通过发出常规HTTP请求访问网站。Cookie用于验证客户端和服务器响应的JS snippet +AuthToken(生成和保存在服务器上): (function() { var ws = new WebSocket("wss://localhost:1000"); // application logic goes here })(); 步骤2服务器将新创建的WebSocket连接标记为不安全/未知。
浏览 0
提问于2021-08-15
得票数 0
回答已采纳
1
回答
改变IP源以减轻DDOS的最佳方法
、
、
源ip地址可以被欺骗。而且,由于IPv6的存在,仅保留一个被排除在访问网站之外的ip地址的查找表是不够的,因为使用ipv6,现在有足够的ip地址供单个发件人在send服务器上发送探测请求的五分位数。 考虑到这一点,哪些新的方法可以缓解web服务器的IP转发DDOS探测? 是白名单个人注册用户ip地址和____的唯一解决方案吗?
浏览 0
提问于2021-03-02
得票数 1
1
回答
如果我同时检查cookie和令牌,我能否防止csrf或xss攻击造成的凭据泄漏?
、
假设服务器可以提供一个cookie和一个令牌。然后,我在用户登录时设置它们。cookie被设置为httpOnly,令牌将保存在localStorage中。当用户执行提交时,它们都将被发回。AFAIK,cookie可以防止XSS泄漏,令牌可以防止CSRF。我能用这种方式阻止这两起袭击吗?
浏览 0
提问于2022-01-10
得票数 0
1
回答
在虚拟服务器上防止崩溃和幽灵真的有可能吗?
、
、
、
、
我最近一直在阅读崩溃和幽灵错误,以及它们给虚拟化服务器带来的问题,因为一个VM中的内存可能会被另一个在同一个主机上的VM中的用户访问。 我在DigitalOcean (这里)上找到了这篇文章,他们讨论了如何确保向服务器应用新的内核补丁,以帮助减轻bug的影响。在评论中,我看到人们谈论这样保护他们的服务器水滴(DigitalOcean的VPSs品牌),这就是我感到困惑的地方。当然,在其VM上应用的任何安全更新都不会影响在旧操作系统更新上的另一个VM中错误的执行?当同一台主机上的攻击者在操作系统的旧版本上时,他们就不能很好地利用这些bug,因为它们是执行所需代码的,而不是他们试图从其中检索内存的更
浏览 0
提问于2021-09-27
得票数 1
回答已采纳
1
回答
单击劫持漏洞
、
、
我需要一点指导,因为我在apache need服务器上有一个漏洞,即Click。在我读过的所有页面中,我不得不修改htaccess,但是我没有在我的服务器上找到它,VirtualHost和httpd.conf只包含注释而不是配置,所以我不知道这个文件在哪里,如果它可能没有它,或者如果有人可以帮助我解决这个问题,谢谢!
浏览 1
提问于2017-10-09
得票数 0
回答已采纳
1
回答
AWS EC2 apache for服务器根目录的权限
、
、
我在亚马逊网络服务的EC2服务器上有一个WordPress博客。我按照亚马逊网络服务的this教程,配置了拥有apache:apache的目录2775和文件0664的web root /var/www/html权限,我可以正常地安装我的网站并通过wordpress进行编辑。 然而,上周我注意到网站上有一些奇怪的行为,当我查看网站根目录时,我发现一个新的目录被创建了,里面全是垃圾的php文件。该目录具有随机名称和所有权apache:apache 这是一个SSL服务器,所以它在端口80和442上有0.0.0.0的访问权限(我通过LetsEncrypt和HSTS有SSL)。 我的问题是:某人如何能
浏览 19
提问于2019-03-12
得票数 1
1
回答
与PHP会话的私有聊天(PHP + Socket.io)
、
、
、
我正在开发一个使用php + socket.io的私有消息传递系统的网站。 从一开始,我就使用sender_id、recipient_id和text将socket.emit传递给了socket.io,但后来意识到这可以很容易地被篡改,并希望以某种方式使用我的php会话,以确保sender_id确实是sender_id。 我现在有了下面的设置,但我不太明白如何将会话从index.php传递到app.js,然后连接到app.js中的redis服务器,以获得包含user_id的PHPSESSID。 服务器1运行nginx +php (index.php) 使用node.js运行socket.
浏览 1
提问于2017-08-08
得票数 1
回答已采纳
2
回答
针对Mayhem恶意软件将PHP更新为Gaurd
、
、
如何确保我的PHP版本被更新以阻止Mayhem恶意软件? 更新我的Ubuntu服务器上的PHP会阻止Mayhem恶意软件将其放到服务器上,阻止它运行,或者其他什么吗? 我还能做些什么来防止它吗? 编辑:这是我发现的最具信息性的文章,描述了混乱:https://www.virusbtn.com/virusbulletin/archive/2014/07/vb201407-Mayhem
浏览 0
提问于2014-07-21
得票数 2
回答已采纳
3
回答
在现实中,一个处于中间进攻的人是如何发生的?
、
我正在努力改进我负责的iOS应用程序的MITM保护,所以我想确切地了解它是如何发生的。我已经设置Charles作为代理,这需要在电话上设置代理并安装Charles证书。我现在能够读取返回和第四次发送的TLS数据。 实际上,大多数人不安装证书(至少不是安装Charles证书的方式),也没有在网络设置中设置代理服务器。 假设我住在一家酒店,并使用他们的WIFI访问我的服务器,他们将如何对我进行MITM攻击?
浏览 0
提问于2016-01-26
得票数 4
回答已采纳
1
回答
JWT身份验证是否安全?它如何保护CORS?
、
、
我在我的项目中实现了基于令牌的身份验证,而不是基于cookie会话的身份验证。因此,在jwt(jason-web-tokkens)中,每次向服务器发送请求时,我都会在报头中附加令牌并将其发送到服务器,服务器会根据第一次生成令牌时使用的秘密对其进行验证,并将响应发送给我。现在,我担心的是,首先令牌被保存在browser.although的本地存储中,令牌被散列,但是如果黑客只是从存储中取出令牌并使用它呢?谁能告诉我它是如何阻止CORS攻击的?我很困惑,在网上找不到任何可靠的答案。
浏览 2
提问于2015-04-20
得票数 1
2
回答
如何保护IIS Web服务器
、
我们有一个web应用程序,它由internet上的IIS web服务器和数据库服务器组成,IIS通过VPN链接访问该服务器。 我们的问题是,我们需要将连接字符串存储在某个地方(显然不能存储在数据库中)。 我注意到可以使用aspnet_regiis加密web.config连接字符串: 有人能评论一下这是多么的健壮吗?我们不想要的是数据库从互联网上被黑客入侵。 我担心的一件事是,aspnet_regiis用于解密和加密,并且安装在机器本身上。因此,如果机器被攻破,并且这个exe文件在那里,那么发现密码将不会那么困难。 因此,假设不推荐使用这种保护密码的方法,那么我还有什么其他选择。 请注意,如果
浏览 4
提问于2015-08-04
得票数 2
1
回答
XSRF和双提交cookie JWT备选方案--这种实现安全吗?
、
、
、
我正在为REST研究HTTP,我希望通过使用模式来使它更加安全,但我非常肯定我实际上已经做了类似的事情(完全是偶然的)。 这是我的流程: 客户端使用用户名和密码向服务器发出POST请求。 服务器使用JWT令牌进行响应。 客户端将令牌保存到cookie中。 在随后的请求中,客户端读取令牌cookie并将令牌放入授权头(我非常肯定这一步骤相当于双cookie提交技术)。 服务器根据授权头中的有效令牌对用户进行身份验证。 由于服务器没有检查cookie和HTTP头匹配(如果我需要的话,这将是很简单的),所以这并不是100%的等价物。 到目前为止,我所拥有的是否足以阻止XS
浏览 1
提问于2017-03-19
得票数 3
回答已采纳
1
回答
你能告诉我我的设计是否安全吗?
、
、
我正在为一个可以存储PII的系统设计一个数据库接口。我的第一个重点是确保所有数据都是安全的,为此,我设计了如下系统。 我运行三个不同的服务器,有三个不同的角色。服务器1,即web接口(我将称之为El ),接收用户的请求并处理它们,并根据需要返回适当的信息。 服务器2,加密接口(我将称之为Bagman)通过SSL从El Jefe接收信息并对其进行加密(使用Paragon的Halite接口),然后将其传递给服务器3。 服务器3,数据库(我将称之为存储库)存储从Bagman那里接收到的加密信息。它没有来自Bagman的加密密钥或者其他类似的东西。 现在,静止的数据是安全的。如果藏物以某种方式被破解,
浏览 0
提问于2018-08-20
得票数 1
2
回答
是否有可能在HTTPS上复制相同的POST数据?
、
、
、
例如..。POST请求包含对服务器的命令,给用户X $10。它是通过HTTPS发送的,所以从中间人攻击中可以得到好处。 但是,攻击者是否有可能嗅探数据包(忽略内容),然后创建同一个数据包的副本,然后向服务器发送多个副本,就好像它们来自合法的源一样。 如果一个POST请求将用户X帐户余额增加10美元,如果同一个数据包被重传10次,这种利用不是可以使用户X帐户拥有100美元吗? HTTPS是否有一些令牌检查机制来防止这种攻击?
浏览 4
提问于2014-12-04
得票数 1
回答已采纳
1
回答
服务器注册的安全性
、
、
、
、
我有心事,所以我决定问一下。通过ASP.NET Identity进行的默认注册(例如,在默认的ASP.NET MVC项目中)安全吗?我的意思是,默认情况下,我们向服务器发送纯密码,这是有可能被别人捕获的,不是吗?我能做些什么来改进它呢?我读了很少的文章,我唯一注意到的是客户端的散列和服务器端的散列一样好,这没有意义。
浏览 1
提问于2016-05-02
得票数 0
1
回答
如果攻击者连续几天每毫秒重复向服务器发出请求,服务器会发生什么情况?
、
我有一个android应用程序,用户可以输入他们的用户名和密码来登录应用程序 我也有一个服务器,其中PHP代码负责与服务器上的数据库检查用户名和密码 因此,场景如下: 1-在android应用程序中,用户输入其用户名和密码 2-在android应用程序中,应用程序连接到服务器的PHP文件 3-在服务器端,用户数据与服务器的数据库进行核对 如果允许用户输入用户名和密码,则也允许攻击者 攻击者可以自动重复更改用户名和密码,并连接到服务器的PHP代码 尽管攻击者输入的用户名和密码没有在数据库中注册,在这方面没有问题,但攻击者反复向服务器发出不同的请求,服务器必须响应用户名和密码无效 现在的问题如下:
浏览 2
提问于2018-05-07
得票数 0
4
回答
密码散列、盐分和哈希值的存储
、
、
、
假设您可以自由决定如何将散列密码存储在DBMS中。这样的计划有明显的弱点吗? 若要创建数据库管理系统中存储的哈希值,请采取以下步骤: 作为salt的一部分的DBMS服务器实例所特有的值, 用户名作为盐的第二部分, 并创建带有实际密码的salt连接, 使用SHA-256算法散列整个字符串, 并将结果存储在DBMS中。 这意味着,任何想要产生冲突的人都必须对每个用户名和每个DBMS服务器实例分别进行工作。我计划保持实际的哈希机制的灵活性,以允许使用新的标准哈希算法(),该算法仍在研究中。 “DBMS服务器实例所特有的值”不一定是秘密的--尽管它不会被随意泄露。这样做的目
浏览 2
提问于2009-07-27
得票数 39
回答已采纳
1
回答
使用GitLab CI通过python脚本部署到FTP
、
、
我是GitLab的新手。我正在构建我的第一个管道,将我的GitLab项目的内容部署到一个使用TLS加密的FTP服务器上。我已经使用ftplib编写了一个Python脚本,将文件上传到FTP服务器,当我在本地Windows机器上运行它时,它工作得很好。该脚本将项目的全部内容上载到FTP服务器上的文件夹中。现在,我试图通过调用项目的.gitlab-ci.yml文件中的脚本来使其在GitLab上工作。脚本和yml文件都位于我的GitLab项目的顶层。目前设置非常简单: image: python:latest deploy: stage: deploy script:
浏览 81
提问于2021-10-21
得票数 2
回答已采纳
1
回答
防止欺骗攻击-如何确保我的客户从真正的服务器接收订单?
、
、
、
、
我正在开发一个Chrome扩展程序,它集成了一个网站。我的用户可以在这个网站上做行动,当他们登录到它。 我有一个Socket.IO服务器,它向我的Chrome扩展提供命令。命令到达后,扩展将从主机网站调用一个本地函数。然后,拥有具有自己API的经过身份验证的活动会话的主机网站将调用一些更新/插入调用。 我最近意识到一个潜在的安全问题,即如果有人在我的扩展客户端组织上欺骗我的服务器地址,他可以很容易地滥用它来代表我的服务器()发送自己的参数。 有什么聪明的方法可以确保我的客户与真正的服务器而不是冒名顶替者进行交流?
浏览 7
提问于2021-05-25
得票数 0
回答已采纳
2
回答
如何截获HTTPS请求?
、
、
我最近开发了一个android应用程序,通过HTTPS请求向服务器发送一些信息。信息存储在请求正文中。然而,其中一个应用程序用户似乎正在修改请求的内容。我不知道这怎么可能,因为我当时的印象是,如果使用HTTPS,内容是完全加密的,是不可能被截取的。然而,现在看来,这种假设是错误的。 有谁能帮我理解一下,用户是如何截获这个请求的?
浏览 4
提问于2015-04-18
得票数 0
回答已采纳
2
回答
相对路径可以减少HTTP主机头攻击吗?
、
我一直在研究http主机头攻击。有许多例子,如<a href="https://_SERVER['HOST']/support">Contact support</a>。为什么会有人对同一服务器所服务的资源使用绝对路径?我只看到了连接到不同服务器的绝对路径。例如,我期望<a href="/support">Contact support</a>,因为href有一个前导的正斜杠,支持页面相对于根url。对于它所服务的所有资源使用相对路径的all服务器是否仍然会被HTTP主机头攻击所利用?
浏览 0
提问于2021-11-15
得票数 1
1
回答
在客户端存储令牌时,如何保护令牌?
、
、
、
、
我们有一个系统,连接我们的用户和2-3第三方应用程序。因此,我们通常在客户端为用户存储用于这些应用程序的令牌。当我们对服务器(我们维护的服务器)进行API调用时,我们还将令牌发送到后端,在后端,它将用于对这些应用程序进行API调用。现在,我们不使用数据库,因此不能将这些令牌存储在服务器端并保存会话令牌。 在客户端持有令牌的最佳方法是什么?他们在饼干里的时候抱着他们安全吗? 在我们看来,保持它们的打开并不安全,因此我们计划向它们添加AES加密,每当将它们发送到服务器时,它们就会被解密并用于API调用。 这是我们可以在保证令牌安全的同时继续使用的最佳方法吗?还是有其他更好的方法来处理这
浏览 1
提问于2021-02-05
得票数 0
1
回答
IIS 6-应用程序池上的CPU节流
、
、
因此,在最近的一次DDoS攻击中,我们的网站摧毁了服务器上的所有站点,之后,我开始研究如何阻止这对所有站点造成如此严重的影响。如果DDoS下的站点出现故障,我可以用另一种方式来处理。我担心的是其他网站。 我可以很容易地处理内存使用的最大使用内存设置,一切都很好。但就CPU的使用而言,它似乎并不那么简单。 到目前为止,我的方法是在以下设置中使用CPU监视: 最大CPU使用率(百分比)- 60 刷新CPU使用率(分钟)-5 执行的操作-停工 使用这些设置(当运行测试时,锤击CPU),大约90秒后(不知道为什么是90秒?!)在该工作进程的CPU使用率超过60%的情况下,会发生以下情况: 事件日志中的
浏览 0
提问于2011-05-30
得票数 4
1
回答
获取所选文件夹的本地路径以发送服务器?
、
、
在我的角度mvc项目中,用户必须选择从服务器下载文件的文件夹。以下是html部分的代码: <input type="file" id="filepicker" name="fileList" (change)="filesPicked($event)" webkitdirectory mozdirectory msdirectory odirectory directory multiple /> 在我的ts文件中: filesPicked(e: any) { var files = e.target.f
浏览 0
提问于2018-09-09
得票数 1
2
回答
为什么服务器存储散列密码而不是在私钥/公钥上中继?
、
我理解为什么SSL客户端证书没有被广泛使用(需要安装它们,共享机器的问题等等)。另一方面,当我登录到服务器时,密码将被发送到服务器内存中。此外,如果服务器证书泄漏,并且存在DNS欺骗,则无法防止MITM获取密码。虽然这种类型的攻击很少发生,但仍然会发生(参见diginotar)。 我提出了一个非常简单的方案--因为它没有被广泛使用--我假设它有问题: 在设置密码时: 随机盐生成(由客户机、服务器或两者兼而有之) 客户端获取salt和密码,并为先前商定的密码安全PRNG种子。 公钥和salt存储在服务器上。 登录时: 盐被发送给客户 客户端重新生成私钥 服务器之间的质询/响应的身份验证中继 这种
浏览 0
提问于2012-03-17
得票数 1
回答已采纳
1
回答
Https只有cookie才容易受到CSRF攻击吗?
、
鉴于假设情况: 一个用户登录他的银行网站 服务器返回一个只包含用户id、加密的Http-专用cookie。 对于每个请求(例如在传输资金时),服务器对id进行解密和检查。 在任何表单上都不会生成CSRF令牌,并且请求验证是基于加密的id的。 在这种情况下,CSRF攻击可能吗?如果是的话,如何运作呢?
浏览 0
提问于2016-11-07
得票数 2
1
回答
会话Cookie HTTPOnly标志未在注销响应上设置(Django)
、
、
、
我有一个Django应用程序,并且正在配置一些安全设置。其中一个设置是SESSION_COOKIE_HTTPONLY标志。我把这个旗子设为True。 在会话创建(登录)中,如果检查cookie,我可以看到设置了会话HTTPOnly标志。在注销时,服务器将返回带有空值的会话cookie更新,以显示cookie已被销毁。此空cookie不会在设置httpOnly标志的情况下发回。 我的问题是:这是安全问题吗?是否有办法强迫Django在注销时设置此标志?或者,由于返回的会话cookie是空的,这是否只是预期的行为,而不是安全问题?
浏览 5
提问于2015-11-18
得票数 5
回答已采纳
1
回答
我想在没有DPAPI的情况下加密app.config
、
、
我想加密app.config,但是DPAPI配置可以被任何其他开发人员解密,所以除了DPAPI之外,还有什么更好的方法来加密app.config呢?
浏览 0
提问于2014-09-24
得票数 0
2
回答
浏览器扩展:如何保护API调用
、
、
我正在开发一个浏览器扩展,它应该与我的平均服务器(-> node.js)交换(GET和POST)数据。我想知道如何保护服务器端API路由,以避免DDOS攻击和类似的威胁,绕过我的扩展和恶意软件/服务器/个人直接发送/请求数据。 我打算使用必须包含在每个调用中的几个令牌(通过HTTPS连接获得/发送): 静态扩展ID哈希,它在我的扩展中是不可见的硬编码,并在服务器端白列,例如e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 :ext_id。 在给定时间内限制每个用户/扩展的请求数量 散列和咸化用户凭
浏览 2
提问于2016-08-15
得票数 0
2
回答
在什么情况下我的网站容易被点击?
、
我读过的大多数例子都是从恶意网站开始的。让我说,我正在创建一个没有恶意意图的网站。网站什么时候变得容易被点击攻击?在没有XSS漏洞或我的服务器被破坏的情况下,这种情况会发生吗?如果是这样的话,是怎么做的?
浏览 0
提问于2019-03-12
得票数 3
回答已采纳
1
回答
用jQuery对HTML表单进行web服务器身份验证
、
我正在构建一个简单的web应用程序。我没有能力使用SSL来保护与客户端的通信。 现在的流动是: 用户第一次注册时: 1)用户正在选择用户和密码(HTML表单)。 2)密码由散列函数和密钥(带有级联盐) (jQuery)进行散列。 3)散列结果被发送到服务器并存储在DB中。 任何登录名中的: 1)在欢迎页面中,密码被散列,结果被发送到服务器。 并与来自DB的哈希结果进行比较。2)如果密码正确,“将向客户端发送身份验证令牌,并将其存储在cookie中。 3)在每个页面中,令牌被发送到服务器并被验证。 **我的问题是:** 1)我对数据进行加密的方法是好的,还是缺乏(将其与SSL相比)? 2)如何防
浏览 3
提问于2011-06-28
得票数 0
1
回答
SSL上的加密密码
、
我读了很多文章,指出基本身份验证+ SSL是实现Digest身份验证的方法。 我在想: 客户端请求登录表单 服务器用nonce返回登录表单。 客户端使用nonce加密用户名+密码,并通过SSL发送 根据我的基本阅读和理解,我认为它更安全,因为我增加了一层安全,以防SSL被破坏。或者不是?
浏览 0
提问于2016-09-01
得票数 1
回答已采纳
1
回答
对使用CDN的应用程序的DDOS攻击必须首先关闭所有涉及的CDN服务器以影响应用程序的可用性吗?
、
、
CDN据说吸收并减轻了拒绝服务和DDOS攻击。考虑使用CDN提供程序来交付其内容的应用程序。因此,如果攻击者试图使用DOS或DDOS摧毁这样的应用程序,那么在这种攻击期间发出的大量请求将流向CDN服务器。这样的DDOS攻击是否必须在完全损害原始服务器之前,完全摧毁所有为该应用程序内容服务的CDN服务器?
浏览 0
提问于2020-01-12
得票数 1
1
回答
封锁IP地址的自动化
、
、
、
、
我有一个Ubuntu12.04机器运行Apache2,其中托管了大约10个wordpress网站。 最近,我受到客户的攻击,这些客户似乎正在向一个名为“xmlrpc.php”的wordpress文件发送帖子请求。 我阻止发送这些恶意请求的IP地址的方式是一个繁琐的手工过程,我想以某种方式实现自动化。 一旦我注意到我的服务器负载很高,我就执行以下操作: 我在所有虚拟主机访问文件上运行apachetop。这显示了正在发出的所有请求,因此我可以看到是否有向xmlrpc.php发出的请求 一旦识别出哪个IP攻击了我的服务器,我将对每个违规的IP地址运行以下命令:sudo iptables -A INP
浏览 0
提问于2013-09-09
得票数 0
1
回答
在不向服务器发送普通测试的情况下安全登录
、
我知道这个问题问了这么多次,但我又回到了这里。我正在开发一个应用程序,我需要登录用户,但问题是,用纯文本发送用户凭据并不是一个好主意,因为它们可能被任何网络工具破解(不知道怎么做,如果您也能告诉这一点,那么它将非常有帮助)。有人能告诉我一个更好的主意吗。 我有一些解决方案,我目前正在生成客户端和服务器密钥,然后我连接客户端密钥+散列用户密码+服务器密钥和发布到服务器这三件事。 与服务器相同的进程,并比较这2个哈希。 够了吗? 我也看过jcryption了。 有人建议我有什么好主意吗? 谢谢..。
浏览 0
提问于2014-09-19
得票数 0
1
回答
当外部客户端试图在我的服务器上运行PHP脚本时,我能做什么?
、
、
我配置了一个LAMP服务器,并多次从Apache错误日志文件中看到如下警告消息: [Thu Jul 02 08:54:04.263981 2015] [:error] [pid 12059] [client 5.45.79.44:49144] script '/var/www/html/wp-update.php' not found or unable to stat, referer: http://example.org/wp-update.php 目前,我有mod_security和内Wordpress字篱笆启用。 在这种情况下,应如何保护和防止这些攻击?
浏览 0
提问于2015-07-02
得票数 0
回答已采纳
1
回答
SSL/TLS中哪些是活跃的研究主题?
、
、
、
我不知道在这里为我的MTech论文问一个问题是否正确。我以为世界上没有一个好地方能找到像这里这样的安全专家。 我有兴趣研究SSL/TLS协议。我知道一些关于协议和底层原语的知识。我发现浏览研究领域并让我更多地了解SSL/TLS协议的第一篇论文是Cristopher的SSL/TLS研究20年--互联网安全基础分析。讨论了该协议的协议、流行的实现和攻击。 我对SSL/TLS web服务器中的安全漏洞进行了调查,并利用了一些漏洞。为此,我找到了一份很好的论文SSL/TLS服务器的密码强度:当前和最近的实践。基本上,我想做与本文相关的工作,即通过扫描web服务器列表来查找仍然存在的安全漏洞。此外,还有
浏览 0
提问于2016-03-29
得票数 3
回答已采纳
1
回答
加密文件或字符串安全android
、
、
、
、
我现在被我的应用程序的安全问题所困扰。我的应用程序每10分钟记录一次用户的GPS位置,12小时后将数据发送到服务器。我目前正在将用户的位置保存在内部存储器的*.txt文件中。现在,我需要保护这个文件,以便它只能编辑我的应用程序,这样用户就不能破解它并更改记录的gps位置。 我读过关于加密字符串或文件本身的文章,但这里是我的问题。在整个stackoverflow中,人们都不建议对密码进行硬编码,即使是代码混淆。我还能怎么保护这个文件上的数据呢?我自己使用ProGuard +代码混淆(位移位、数学运算等)还不足以将密码保存在我的代码中吗?任何意见赞赏,我需要这是安全的,因为数据必须保持不动。谢谢!
浏览 3
提问于2013-03-01
得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属
10元无门槛券
手把手带您无忧上云
相关
资讯
CC攻击是什么?如何防止网站被CC攻击?
被DDoS攻击怎么办?这三招帮你防止、减轻DDoS攻击
服务器被DDoS攻击?如何缓解DDoS攻击?
派盾推出防止DeFi协议被攻击的SaaS平台KillSwitch
服务器被攻击了怎么解决
热门
标签
更多标签
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM
活动推荐
运营活动
广告
关闭
领券