我对web世界中的攻击的了解只包括SQL注入和DoS,但仅此而已。我不打算为此使用后端服务器,所以我不确定攻击者是否仍能从客户端获取这些敏感数据,除非他们掌握了用户的pc。攻击者是否可以在此web应用程序上进行任何可能的攻击以获取用户的事务数据?如果是的话,你们能建议我做些什么来防止这种情况发生吗?
谢谢
浏览 3提问于2022-02-18得票数 1
我理解使用HSTS运行网站可以帮助防止攻击者使用K架降低网站的等级以服务HTTP请求。IIS为网站设置了一个只能要求SSL请求的设置。这是否足以防止攻击者使用SSLstrip将HTTPS降级为HTTP?我假设the服务器将无法提供非HTTPS流量,对吗?
浏览 0提问于2017-10-17得票数 2
1回答
我正在学习XSS攻击。 假设我有一个网站(让我们称它为http://www.animallover.com),它允许我在搜索栏中输入任何内容来搜索动物名称。该网站很容易受到攻击,因为在搜索栏中输入<script>alert(1)</script>会触发警报。我没有web服务器来托管我的cookie捕获脚本。 我该怎么办?
浏览 21提问于2021-03-22得票数 0
回答已采纳
DOS或DDOS的一个关键方面似乎是利用攻击者端所需的计算能力来最大化对目标端的影响。此wiki文章列出了许多此类攻击的示例。因此,想象一个.Net网站有一个页面,无论出于什么原因,它都会在标准的GET请求中崩溃。常驻.Net专家乔恩斯基特讨论了.Net异常的性能。。但是,如果这个总是崩溃的网站充斥着会在服务器端触发异常的请求,该怎么办?这是否是一种可行的攻击,在测试网站是否存在漏洞时需要加以考虑?
浏览 0提问于2018-02-05得票数 2
回答已采纳
4回答
在最近的一次DDoS攻击中,我的网站无法继续运行。
当主站点保持正常运行时,我无法连接到不同域上的外部API,导致该站点变得完全不可用。
浏览 3提问于2016-10-27得票数 3
我知道暴力攻击和DOS之间的区别。
如果一个web服务器没有帐户锁定,并且一些蛮力攻击被并行启动,并且这些攻击将使web服务器CPU繁忙,那该怎么办?这些攻击最终会降低web服务器服务其他合法请求的能力并导致DOS攻击吗?
浏览 0提问于2020-10-18得票数 2
回答已采纳
token=personal-token-should-go-here
然而,即使没有提供token,我的服务器和应用程序逻辑仍然受到攻击,这意味着匿名攻击者可以在没有登录的情况下淹没我的服务,使我的服务瘫痪我最近遇到了WAF,他们承诺充当中间人,过滤滥用攻击。我的理解是,WAF只是反向代理我的API,并在将请求委托给我实际的后端之前应用一些已知的攻击模式过滤器。我真正不明白的是:如果攻击者可以直接访问我后端的IP怎么办?!难道他不能绕过网站管家直接D
浏览 23提问于2019-08-03得票数 0
3回答
我正在为一些网站运行一个使用OpenVZ的服务器。在HN除了sshd什么都没有。一个VM用于Varnish,一个VM用于MySQL,几个VM用于一个网站(运行Apache/PHP)。现在我想保护这台服务器,主要是从网络攻击(我想)。谢谢,
浏览 0提问于2011-09-02得票数 1
回答已采纳
我只是浏览了一下网站,发现了一个问题:我的服务器被黑客入侵。基本上问题是:我的服务器被黑了。我该怎么办?检查“受攻击”系统,了解这些攻击是如何成功地危及您的安全的。尽一切努力找出攻击的“来源”,以便您了解您有哪些问题,并需要解决哪些问题,以确保您的系统在未来的安全。我知道您可以查看服务器日志文件,但作为攻击者,我要做的第一件事就是删除日志文件。你如何“理解”<em
浏览 0提问于2011-01-03得票数 11
1回答
服务器将签名的JWT令牌设置为一个cookie,其响应头中有Set-Cookie ... ;Secure ;httpOnly。这可以防止XSS攻击,因为Javascript.无法访问cookie。服务器还发送没有httpOnly设置的CSRF令牌,以便JavaScript code.可以读取它。因此,简而言之,我们有:
使用;Secure;HttpOnly设置
浏览 0提问于2018-11-29得票数 1
我有一个验证属性类,它运行检查表单文本框的服务器端。我还在客户端的javascript调用中实现了它。我的问题是,如果客户端被调用并返回true,那么服务器端也应该被调用吗?应该同时调用客户端和服务器端吗?似乎如果客户端验证通过了,那么就不需要在服务器端再次调用任何类型的验证了。检查一件东西两次似乎有点多余。
浏览 1提问于2015-02-25得票数 1
当我在研究一个域名时,我一直在使用互联网Achive,发现我正在调查的一个较旧版本的域名原来是一个NSFW网站,它似乎会显示弹出,因为我的浏览器阻塞并警告了我。这让我纳闷,互联网档案馆在归档网站时会不会发现任何恶意信息,比如:
一个站点受到XSS的攻击--有人在攻击时将该站点存档--假设Internet Archive捕获了代码,可以查看该归档文件触发攻击,或者启用了攻击驱动器的归档站点怎么办
浏览 0提问于2019-02-03得票数 1
1回答
但是,我从我的演讲中得到了一个任务,我应该使用蜜罐来检测黑客的攻击。他想要的工作流程是,我们使用蜜罐,然后我们尝试一些网站。但是,当攻击者扫描或对该网页IP地址进行某些操作时,它必须转向蜜罐,这意味着攻击者确实攻击了真正的网站。我真的不知道该怎么办
浏览 1提问于2020-08-01得票数 0
1回答
我在客户的机器上安装了一个应用程序,一个服务器,以及两者之间的一个常规网站。为了不让客户配置任何东西(用户凭据、代理设置.),应用程序通过浏览器与服务器进行通信。为了防止任何随机网站与应用程序通信,我们决定使用非对称公共/私有加密实现以下自动挑战机制。服务器使用应用程序的公钥加密令牌,使用<e
浏览 0提问于2016-10-04得票数 3
我读到的关于冒充网站的文章越多,我就越困惑。攻击者是否需要服务器的私钥才能模拟网站,或者拥有私钥只会使他有解密通信的能力?当我想到模拟一个网站时,我想到了一个碰撞攻击,其中一个md5散列被破坏了,然后可以使用一个假证书来使用一个新的密钥对来有效地模拟一个网站。当我想到一次MiTM攻击时,我想到的是一种攻击,在这种攻击中,处于中间的人获取服务器的私钥,并在客户端和服务器之间来回转发通
浏览 0提问于2014-10-02得票数 0
回答已采纳
我有一个静态的公共IP RDP Windows服务器,我想通过GCP托管,以便获得安全功能,以保护我的服务器免受RDP攻击和其他...
该怎么办呢?
浏览 2提问于2020-06-22得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
腾讯会议活动推荐
腾讯云开发者
