1回答
比方说,一些攻击者能够知道某些Firebase项目的FCM“服务器密钥”(显示在“项目概述”->“设置”“->”云消息“->”服务器键“中)。请注意,他只知道这个密钥,但没有任何 FCM令牌。特别是,他能否向发送推送通知,所有安装了相应移动应用程序的移动设备?(即它对应于这个Firebase项目)
FCM令牌的分组:我们不需要担心它,因为攻击者不知道任何FCM令牌。主题的使用:如果我们(即服务器
浏览 2提问于2019-06-26得票数 0
回答已采纳
3回答
储存密码和盐(盐甚至可以是“清除”形式)
与以下场景类似:您有一个客户端移动应用程序和一个带有数据库的服务器应用程序。用户使用移动应用程序使用用户名和密码注册。密码得到一个加了加的盐,并被存储在服务器端。salt也必须存储在服务器端,因为您根本不信任移动客户端。而salt应该以某种方式连接到正确的用户帐户。所以让我们假设,它存储在密码旁边的同一个用户表中。在这种情况下,如何使用salt来防止任何攻击(例如字典攻击)?如果攻击者已经可以
浏览 0提问于2016-01-27得票数 1
1回答
我正在开发一个移动应用程序,它将一些加密数据发送到蓝牙设备,而这个蓝牙设备将数据发送到服务器。我的问题是,在这种情况下,我如何防止重播攻击。有人可能会使用假蓝牙设备来获取信号并将它们发送到服务器。
我的移动应用程序和蓝牙设备之间
浏览 3提问于2014-04-08得票数 7
回答已采纳
我目前正在权威地处理AI单元,服务器计算它们的删除、移动和追求/攻击逻辑,并将移动同步到客户端每秒15倍,当它们发生时状态发生变化。不过,当我模拟200‘s ping时,客户端可以感觉到AI的攻击超出了范围,但仍然受到攻击,因为在服务器上他还没有移动那么远。这也和我的实时拦截玩地狱游戏。
浏览 0提问于2012-02-17得票数 2
1回答
我们有一个移动应用程序,通过RESTful HTTPS网络服务连接到我们的服务器。我们还有一个攻击者在与我们的服务器通信时正确地模仿了我们的应用程序。因此,我们假设攻击者能够使用费德勒这样的工具观察和解密应用程序的通信量。
据我所知,Fiddler在中间插入一个证书并充当代理。Fiddler能够向攻击者提供数据流的解密版本。证书钉扎是否应该删除攻击者观察HTTPS通信量的能力?有了我们的移动应用程序在野外,我必须假设应用程序可以安装在一个根/
浏览 0提问于2015-09-14得票数 1
回答已采纳
4回答
我们在苹果和谷歌的游戏商店里有一个iOS和安卓的移动应用程序。该应用程序通过HTTPS与我们服务器的Web服务进行通信。问题是,完全有可能对iOS或Android移动应用程序进行逆向工程,并获取任何秘密密钥。因此,我想我的问题变成了身份验证问题,而不是授权问题:在服务器端,我如何区分冒充我们的移动应用程序的攻击者
浏览 0提问于2015-09-12得票数 17
回答已采纳
1回答
用乌贼防止MITM攻击
、、、、
我也想或
创建python应用程序,以检测本地证书存储和从服务器发送的证书之间的差异。如果存在差异,请在客户端显示错误,说明防止了可能的MITM攻击,然后将用户重定向到真实站点。这个是可能的吗?我能用什么编程语言来解决这个问题?
浏览 0提问于2021-03-21得票数 -1
1回答
我已经使用rails服务器实现了web服务。服务器使用rails默认身份验证方案进行用户登录。
现在,我正在为该服务开发本地移动应用程序,该应用程序正在使用json请求和响应与服务器进行通信。由于原生移动应用是基于safari的,身份验证工作良好,因为可以将会话id设置为cookie,但我担心它存在CSRF攻击的风险,因为rails只处理使用CSRF令牌的html请求的此类攻击。-我应该为移动应用程序实现不同的控制器吗,因为它更像是封闭(私有) API
浏览 1提问于2011-02-25得票数 1
回答已采纳
1回答
我们目前正在开发一个捕获自动攻击(蛮力攻击、DoS攻击等)的程序。我们希望在防火墙处理的旁边有一个二级处理。我们已经开发了一个逻辑,但问题是如何准确地获取请求者的ip地址。请求通过ff:也有可能请求位于代理之后。这样还能获得请求者的正确ip地址吗?
浏览 10提问于2020-03-23得票数 0
1回答
我知道CSRF攻击和针对它们的内外保护,我已经阅读了关于它的整个owasp页面,但是当涉及到保护REST时,我有点不知所措。这不就能减轻CSR
浏览 4提问于2014-07-05得票数 3
回答已采纳
我正在使用一个移动应用程序,安装一个假的可信CA证书,因此可以捕获其他应用的HTTPS流量。大多数情况下,这个MITM攻击是成功的。然而,我注意到有些应用程序比其他应用更安全,当使用假可信CA证书的MITM攻击发生时,它们会拒绝连接到自己的服务器。
这些应用程序如何检测到MITM攻击?这种情况是发生在客户端还是在服务器端?当用户安装了攻击者的可信CA证书时,似乎不能使用HSTS和公钥钉扎来防止MITM。如果是的话,哪种技术可以呢?
浏览 0提问于2018-08-16得票数 2
回答已采纳
1回答
对于游戏世界,我正在创造一个自上而下的角色移动和战斗。点并点击。单击地图的一部分(在本例中,它是一个图像,您的字符.png图像转换到那个位置)。它使用Javascript和PHP。我正在使用PHP Websocket服务器。我有它的球员只能移动200像素,每次点击。每一次点击实质上都是一个被发送给我的游戏玩家的数据包。我的问题是:如果我想加入一个拥有人工智能并开始攻击角色的怪物.我可以使用setInterval或setTimeout函数轻松地使用javascript (使暴徒移动,然后攻击</em
浏览 0提问于2015-02-26得票数 5
所以我现在的状态是我有一个REST服务器(ASP.Net web ),这是一个纯Html的网站,它通过ajax /REST和get与服务器通信,我还有一个移动应用程序,它通过ajax /REST和get我使用Basic Auth header来保护请求,web服务器将解密auth报头的内容,然后进行验证。那么偷饼干的
浏览 2提问于2019-06-25得票数 3
回答已采纳
1回答
它部署在第三方云中,这限制了我们对服务器硬件的控制和日志能力。我们不能强制使用客户端证书身份验证。因此,我们所拥有的基本上是具有标准2因素认证(登录/通过+ SMS)的公共HTTPS站点,它可以从桌面或移动浏览器访问,以及在同一站点上从本地移动应用程序中获得额外的API。服务器软件基于.Net/IIS。
我们正在考虑以下场景--用户的计算机/智能手机可以信任攻击者的证书,从而允许典型的MiM攻击(因此用户用可信的证书连接到代理,代理连接到我们的服务器
浏览 0提问于2016-01-14得票数 8
在移动设备中有一个称为证书钉扎的概念,开发人员不信任任何证书颁发机构,而是将公共证书存储在移动设备上。如果有人获得了公共证书,他们会对我的服务器发动攻击吗?他们不能和我的https服务器通信吗?
浏览 3提问于2015-12-04得票数 0
回答已采纳
1回答
如何从中阻止访问
、、
只要您知道项目id并在服务器上使用Firestore,对数据的访问就非常开放。在我弄清楚如何从服务器攻击中保护数据之前,我不想尝试这些规则。同样,API所需要的是访问数据的项目id,所以我需要先锁定它,然后再进一步移动。规则只适用于我所阅读的移动/web客户端,服务器端客户端完全绕过了这些规则。请帮帮忙。我不想使用Firebase,因为攻击者仍然可以使用Firestore来访问数据。
浏览 13提问于2021-12-24得票数 2
回答已采纳
最近,我开始考虑一个攻击者会克隆一个移动应用程序,并添加一些代码来做一些恶意的事情,例如凭据盗窃。这个克隆的应用程序将与合法服务器通信,从而为用户提供合法的服务。我想知道如何在服务器端防止移动攻击变体。首先想到的是使用某种形式的凭据。然而,只要付出足够的努力,这个问题就会被逆向工程打破。
你能想到更好的或者更令人安心的吗?
浏览 0提问于2020-12-03得票数 0
回答已采纳
我理解Oauth代码流,它涉及移动应用程序、应用服务器、auth服务器、资源服务器。应用服务器使用客户端和机密向auth服务器注册。其想法是,移动应用程序调用应用服务器的端点,该端点触发代码流,最终导致使用auth代码从auth服务器回调到应用服务器。应用服务器向auth服务器提供秘密和代码,以获取访问令牌。另一个没有客户端和秘密的遗留选项是隐式流,其中移动应用程
浏览 7提问于2022-02-06得票数 1
回答已采纳
1回答
我听说过运行时攻击,但我不知道人们是否可以像在浏览器中那样在移动应用程序中这样做。我已经看到了用户/攻击者可以直接更改变量并将其转换为将应用程序数据发送到攻击者服务器的代码的地方,但我不知道这是如何工作的。
浏览 10提问于2022-01-08得票数 -3
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
云直播活动推荐
腾讯云开发者
