当我尝试使用HTTPS访问一些网站时,我会得到一个错误,即SSL是自签名的,SSL只对另一个域有效,而SSL实际上是无效的。
如果SSL仅对其他域有效(错误代码: ssl_error_bad_cert_domain),我应该怎么办?
留在Http或者去Https。还有,你能解释一下,当我得到那个错误时,我实际发生了什么吗?
另外,当证书只被自签名(错误代码: sec_error_untrusted_issuer)时,我更喜欢HTTPS而不是HTTP,我做的更好吗?
浏览 0提问于2014-07-21得票数 1
我理解使用HSTS运行网站可以帮助防止攻击者使用K架降低网站的等级以服务HTTP请求。
如果我们的web服务器不支持HSTS怎么办?
IIS为网站设置了一个只能要求SSL请求的设置。
这是否足以防止攻击者使用SSLstrip将HTTPS降级为HTTP?我假设the服务器将无法提供非HTTPS流量,对吗?
浏览 0提问于2017-10-17得票数 2
可能重复: 我的服务器被黑客入侵
我现在快疯了,我不知道该怎么办。
我在谷歌上搜索了一些黑客,他们用.htaccess将我的网站重定向到他们的网站以获得流量,现在我从昨天起就遇到了这个问题,我不知道该怎么办.
我也做了一个搜索,发现一些人有同样的问题,建议是做一个干净的安装我的网站,我已经这样做了。
我的Wordpress网站是最新的,以及插件。
我检查我的许可一切都是好的。
我检查了数据库一切都还好。
密码被更改,他们仍然可以做同样的事情。
.htaccess正被重定向到http://baidu.com,但在此之前,它实际上是重定向到.rus站点。
如有任何建议请:
浏览 0提问于2012-06-10得票数 -1
回答已采纳
我目前正在寻找保护一个网站,以防止点击。给出了以下最佳实践示例:
<style> html{display : none ; } </style>
<script>
if( self == top ) {
document.documentElement.style.display = 'block' ;
} else {
top.location = self.location ;
}
</script>
然而,我想知道,如果客户端禁用了javascript怎么办?然后,他
浏览 2提问于2016-07-20得票数 0
回答已采纳
我不知道这是否是正确的论坛,但我有一个域名托管(共享托管)的godaddy.com,它已经被一群孟加拉国黑客黑/污损。请注意,它只是一个由GoDaddy托管的域。我还没有开发/建造这个网站。这是我的网站-
http://anujitnene.com
我接下来该怎么办?我怎样才能防止这类攻击?帮帮忙吧。
编辑:
我忘了提全部细节。实际上,域只与GoDaddy一起停放。我之前已经更改了它的DNS服务器,以指向我购买主机的Dreamhost。基于下面收到的两个评论,我将我的DNS设置返回到GoDaddy,它解决了这个问题。
浏览 0提问于2015-05-26得票数 -1
11回答
停止欺骗表单提交
、、
我有一个关于停止欺骗表单提交的问题。如果通过使用$_SERVER['HTTP_REFERER'],我只允许来自我的网站的表单提交,该怎么办?那会有帮助吗?!谢谢!
浏览 0提问于2012-02-09得票数 2
回答已采纳
1回答
网站每天都被黑客入侵,不时我们听到网站所有者的反应,并告诉“受影响的用户,他们的密码可能被泄露了”。大多数泄露信息的网站都知道哪些信息被泄露了,而且通常只影响到一小部分用户。
在我所有的设置中,我把所有的东西都保存在一个数据库中。如果黑客要获得对数据库的访问权限,我如何验证哪些已被破坏。
我的问题是:如何监视我的数据库是否有数据库泄漏?会有一些攻击矢量:用户可以在我的代码中找到一个bug,并访问我的管理界面。在这种情况下,一个日志会有帮助。但是,如果攻击设法连接到我的数据库并发送他想要的任何SQL查询,该怎么办?如果整个服务器被破坏了呢?他可以直接删除日志,甚至隐藏自己的行为。这样,直到用户开
浏览 0提问于2015-06-26得票数 4
回答已采纳
我们使用心跳来实现httpd的高可用性。在httpd中,我们使用的是0.9.8版本的openssl,但是关于心跳,我不太了解它,但是在google搜索的时候,一些网站说如果你使用心跳,我们就会受到心脏出血的影响。我该怎么办?
浏览 0提问于2014-04-22得票数 -2
我们的客户之一扫描我们的网站,并分享以下qualys漏洞。
"Apache部分HTTP请求拒绝服务漏洞--零日“
我们在Apache/2.2.22中使用“Ubuntu12.04.5LTS”。我们已经实现了很多选项,提到的是这个url
它的CVE是CVE-2007-6750
但每次扫描都会发现这个漏洞。
我们现在该怎么办?
浏览 0提问于2015-04-15得票数 2
1回答
我检查了搜索控制台的覆盖范围。我的网站上似乎有很多冗长的词组被搜索,而且我有很多没有索引的页面,但我从来没有做过这样的页面。我的网站被黑了。我现在不知道该怎么办了。请看以下截图:
📷
浏览 0提问于2021-04-28得票数 1
我的提供商仍然使用MS 2(没有加密)的VPN。它有多容易被利用?我看到了很多文章,但它们都是2012/2013年的。有些网站不起作用。怎么一回事?微软修好了吗?还不安全吗?这样的攻击有多便宜?如果供应商不考虑更改协议,我该怎么办?那ubuntu呢?该协议是否有更好的实现?
浏览 0提问于2020-06-25得票数 1
回答已采纳
4回答
避免由突击队自动创建流量
、、、
我在考虑网络安全,然后这个想法突然出现在我的脑海中。
说有个混蛋讨厌我知道怎么编程。我管理一个不错的网站/博客与相当数量的流量。然后,那个混蛋创建了一个程序,自动请求我的网站一遍又一遍。
因此,如果我是主持我的网站在共享主机提供商,那么显然我的网站将停止回应。
这种类型的攻击可能并不常见,但如果有人试图在我的网站上这样做,我必须采取一些措施。我不认为像wordpress或drupal这样流行的CMS会对这种类型的攻击做些什么。
我的假设是;
如果用户在1分钟内请求x次数超过50次(比方说50次),请阻止该用户。(停止回应)
我的问题是;
我的假设可以吗?如果不是,该怎么办呢?
像Goo
浏览 9提问于2013-08-19得票数 1
我不太清楚OpenVPN背后的技术,所以我有一个关于OpenVPN安全性的问题:
如果我有client.p12 (PKCS#12)文件,并且这个文件被泄露(带有导出密码)给某个邪恶的人,该怎么办?此外,这个人可以转储我加密的VPN通信量(这是用泄漏的client.p12文件保护的)。
这是否意味着我的流量可以用MITM解密或黑客攻击?
或者这是不可能的,因为服务器密钥没有被破坏,而这个邪恶的人只能在服务器上授权我?
浏览 0提问于2014-07-18得票数 0
回答已采纳
我在一个JSON文件中有一些HTML值。我想在我的网站上以文本格式显示该HTML,而不是HTML格式。
我正在从一个JSON文件中获取HTML数据,并使用Nunjuck模板在网页上显示它,但它不是文本格式,而是以HTML格式显示,如下所示:
这是我使用的代码:
const JSONFile = require('../public/blog.json');
.
.
.
router.get('/:post', function (req, res) {
const path = req.params.post;
cons
浏览 15提问于2017-01-27得票数 0
回答已采纳
我在我的网站上有相当多的表单是使用jQuery ajax提交的。当我最近禁用了JavaScript来做一些测试时,我注意到这些表单以通常的方式提交。
当javascript不可用或禁用时,有没有什么方法可以防止它们被提交呢?
我的表单没有method或action。这些都是在ajax本身中指定的。我使用button而不是
我能做些什么来阻止他们被提交吗?
我知道我可以在页面加载后生成/启用按钮和内容,但如果用户在页面加载后故意禁用JavaScript怎么办?
浏览 1提问于2014-07-21得票数 0
访问本网站:http://ruby-doc.org/
我收到这样的信息:
在过去的14天里,有3份Ruby漏洞报告。2高,1中等。最近: CVE-2013-4562。详情见。
我安装红宝石只是为了好玩和玩它。这个弱点会影响我吗?我真的很害怕我该怎么办?
浏览 0提问于2014-05-17得票数 1
回答已采纳
我看到了一个由HTTP和HTTPs部分组成的网站。也就是说,网站(80% )是通过HTTP的,因为支付页面是通过HTTPs的。
那么这个网站会被认为是安全的吗?
它能被利用吗?
从网站的HTTP部分开发支付部分?
浏览 0提问于2019-08-09得票数 1
回答已采纳
1回答
我以前从来没用过蜜罐。但是,我从我的演讲中得到了一个任务,我应该使用蜜罐来检测黑客的攻击。
我在期刊、教程和文章中进行了搜索。我试着使用honeydrive3和蜜罐Kippo。当我尝试这样做的时候,我自己攻击,它起作用了,攻击的细节被提供了。但是,当我告诉我的讲师时,他说这不是他想要的。
他想要的工作流程是,我们使用蜜罐,然后我们尝试一些网站。但是,当攻击者扫描或对该网页IP地址进行某些操作时,它必须转向蜜罐,这意味着攻击者确实攻击了真正的网站。我真的不知道该怎么办。
浏览 1提问于2020-08-01得票数 0
2回答
我读过的大多数例子都是从恶意网站开始的。让我说,我正在创建一个没有恶意意图的网站。网站什么时候变得容易被点击攻击?在没有XSS漏洞或我的服务器被破坏的情况下,这种情况会发生吗?如果是这样的话,是怎么做的?
浏览 0提问于2019-03-12得票数 3
回答已采纳
2回答
移动应用中的CSRF
、、、、
情况
爱丽丝使用一个网上银行网站,该网站存储了她的凭据。
在cookie到期之前,Eve向Alice发送了一个恶意URL,从而导致Alice从她的银行帐户中提取资金并将其发送给Eve。
这是web应用程序的一个常见的CSRF示例,但是在移动应用程序中这样做是否可行呢?
如果Alice在手机上使用一个银行应用程序,存储一个cookie,然后访问Eve的一个具有类似结果的站点,该怎么办?
来自本地(或混合)应用程序的Alice移动设备上的cookie会容易被操纵,还是这些cookie通常会在设备上装沙箱?
我会假设iOS、Android等上的cookie与普通浏览器一样工作,但实际情况是这样吗?
浏览 2提问于2013-08-05得票数 29
回答已采纳
3回答
我试图把我的头脑围绕着公钥密码系统是如何在一种安全的方式下真正工作的。
根据我收集到的信息,您可以访问example.com并下载他们的PGP/GPG公钥并将其添加到您的密钥环中。然后,他们向您发送一个用他们的私钥签名或用您的公钥加密的文本文件(或诸如此类的东西);您可以验证它的真实性和/或解密它。
如果攻击者在传输过程中修改了网站,并在他们的名下签署了自己的假密钥,而您将其放入密钥环,该怎么办?然后继续验证和解密被篡改的文件,假设它是有效的。
我想我说的是MITM在中间篡改整个网络流量,或者类似的事情。我只是不确定“签名”如何能够防止密钥和数据在传输过程中被伪造。
浏览 0提问于2011-08-01得票数 5
回答已采纳
我已经读到,文档和pdf文件是危险的,即当通过Tor下载时很容易修改。从ghostbin或pastebin下载的文本文档在传输过程中也会被恶意化吗?网站页面下载(一个html文件和一个相关文件夹)怎么办?如果我将这些文本和html文件拖放到Tor窗口以打开它们,会安全吗?
参考资料:在Kali Linux中,如何以安全的方式打开文件而不断开internet?
浏览 0提问于2017-01-16得票数 0
回答已采纳
我刚用默认菜单加密了我的Android手机。我被要求要一个密码(4位数)。你觉得这是个好做法吗?解密文件系统的尝试次数有限吗?
如果攻击者转储数据并尝试每一个从0000到9999的组合怎么办?(这应该可以在几秒钟内实现)。
浏览 0提问于2015-08-13得票数 4
Django通过cookie在用户机器上设置CSRF保护令牌。然后,它在POST请求中请求令牌。如果这两者不匹配,则返回403。
如果手动更改在请求中发送的cookie和令牌值,则请求将被接受。Django不验证服务器是否设置了令牌值。只要cookie和请求匹配,它就不会返回403。
这看起来不安全。如果另一个网站欺骗我的域并设置一个新cookie,然后在请求中发送新cookie的CSRF令牌值,怎么办?Django将对两者进行比较,并认为请求是合法的。
他们是否有以不同方式实现这一目标的包,还是我遗漏了什么?
浏览 0提问于2013-12-17得票数 12
回答已采纳
3回答
我有一个网站与大量的管理生成器,以照顾各种表格。在经过身份验证的用户范围内,我希望能够拒绝访问,不仅是对单个操作或字段的访问,还包括整个管理模块的访问。
generator.yml似乎没有全局credentials参数,并且在模块级别将内容放入security.yml似乎没有任何效果。
我浏览了生成的代码并查看了cache/front/dev/modules/autoFoo/actions/actions.class.php,尤其是preExecute(),但我不知道该怎么办。
我想我必须在我自己的actions.class.php文件中重写preExecute(),但我有点不确定什么时候需要
浏览 1提问于2009-11-02得票数 1
我想防止我真正的IP地址泄漏到我使用Safari在OS上访问的网站。
我需要配置防火墙吗?怎么做到的?如果我的VPN连接不小心掉了怎么办?还有什么值得担心的事情会泄露我的真实IP吗?
浏览 0提问于2016-07-31得票数 2
1回答
我在测试网站安全时,我发现:
当我输入站点URL时,用户将得到一个没有任何用户输入的会话ID,如:
7F746326038B30F51609423B2086BEBB
场景1:一旦我通过提供正确的凭据登录到网站,它就会登录,但是会话ID保持不变。在同一会话中,我再次登出以查看会话ID仍未更改。同样,登录会提供相同的会话ID。
这是网站的潜在漏洞吗?会话固定或劫持可以围绕这一点进行吗?
场景2:如果当用户登陆登录页面而登录后不更改会话ID,但在注销后更改并继续进行时,站点会给出会话ID怎么办?这也是一个弱点吗?
场景3:我将退出当前用户,并以另一个用户的身份再次登录。会话id仍然是相同的。
注意:
浏览 0提问于2022-04-15得票数 0
回答已采纳
1回答
我有一个API (Java + Play Framework)。我有一个网站(反应),谁必须与API沟通。我不希望我的API被任何东西调用,除了我的网站。
我该怎么做?
浏览 0提问于2018-07-08得票数 -1
回答已采纳
4回答
浏览器如何决定接受自签名证书?
、、、、
据我所知,使用OpenSSL,您可以自行签署您的网站的证书.这意味着,连接您的服务器的浏览器应该愿意接受您的网站的自签名证书。我的问题是,浏览器如何知道是否接受某一特定网站的自签名证书?如果我是一个客户,并为一个银行网站提交了一个自签名的证书,该怎么办?在这一点上,浏览器怎么不被欺骗呢?
浏览 0提问于2019-08-02得票数 1
回答已采纳
1回答
我发现了这段视频,在其中,他们说要用PoD攻击一个网站,只使用cmd。如何保护网站免受这种类型的拒绝服务(DoS)攻击?
我想这很难防范,因为任何人都可以实施这样的攻击。
浏览 0提问于2013-03-30得票数 3
回答已采纳
我知道暴力攻击和DOS之间的区别。
如果一个web服务器没有帐户锁定,并且一些蛮力攻击被并行启动,并且这些攻击将使web服务器CPU繁忙,那该怎么办?这些攻击最终会降低web服务器服务其他合法请求的能力并导致DOS攻击吗?
浏览 0提问于2020-10-18得票数 2
回答已采纳
我们面向公众的网站证书即将到期。我们的网站完全是http。该站点在SharePoint上运行,并且使用SharePoint处理NTLM时,通过站点传递的凭据是如此安全地完成(而不是纯文本)。这是供用户访问网站并进行基本更改(文本/图像)。一旦他们被认证,他们就会在http上编辑网站。
那么,我们需要续签证书吗?
谢谢
浏览 0提问于2014-04-22得票数 0
回答已采纳
如何阻止除谷歌机器人以外的所有机器人。我用的是云彩,但我很困惑,该怎么办。
我要所有的机器人,除了这些面对云彩JS挑战。截图会有帮助的。同时,用户/访问者也将面临JS挑战。
浏览 0提问于2019-07-25得票数 1
回答已采纳
我读到的关于冒充网站的文章越多,我就越困惑。攻击者是否需要服务器的私钥才能模拟网站,或者拥有私钥只会使他有解密通信的能力?
当我想到模拟一个网站时,我想到了一个碰撞攻击,其中一个md5散列被破坏了,然后可以使用一个假证书来使用一个新的密钥对来有效地模拟一个网站。
当我想到一次MiTM攻击时,我想到的是一种攻击,在这种攻击中,处于中间的人获取服务器的私钥,并在客户端和服务器之间来回转发通信量,从而允许攻击者解密和查看所有通信。对我来说,这不是“冒充网站”。有人能澄清一下我的困惑吗?
浏览 0提问于2014-10-02得票数 0
回答已采纳
这意味着如果我有一个网站,并且我链接到一个外部的.js文件,比如说jquery或者一些小部件服务,他们可以很容易地通过身份验证cookie,然后以我正确的身份登录?
如果我使用SSL怎么办?
浏览 12提问于2011-03-15得票数 14
1回答
我想知道是否有一种方法来阻止和重新路由在我的网站上收到的DDoS攻击到攻击者网站(我知道它的地址)。
如果是的话,我怎样才能做到呢?我正在使用CloudFlare,我正在考虑让它将所有请求重新路由给攻击者IP,但我在技术上不知道如何做到这一点。有人能帮我一把吗?非常感谢!
浏览 0提问于2017-02-02得票数 -1
1回答
我想开始学习如何管理自己的服务器,并将cPanel / WHM抛在脑后。我刚买了一个运行Ubunutu的VPS (Linode)。我要去他主持多个网站,在那里,在一个灯堆栈。
无论如何,我的问题是,是否应该为每个网站创建一个新用户并将文件存储在每个站点下,还是创建一个“站点”用户并将所有站点文件存储在该用户之下?
谢谢。
浏览 0提问于2013-02-16得票数 0
2回答
在php中,当你处理GET/POST请求时,你必须检查它们,等等。如果一个参数丢失或错误怎么办?如果这被认为是某种黑客攻击,那你该怎么办?只是带着"dontHackMe“的die();?
浏览 0提问于2012-07-11得票数 1
1回答
可能重复: 在Wordpress 3.5中提供警告的堆栈溢出类型的警徽插件
我已经更新了我的wordpress网站simpliblog.org两天前。现在我可以在上面读到:缺少wpdb::prepare()的参数2,在第154行的/home/simplib/public_html/wp-content/themes/gonzo/includes/widget_areas.php中调用,在第990行的/home/simplib/public_html/wp-includes/wp-db.php中定义
我不知道该怎么做,我不想下载和安装wordpress 3.5,因为我改变了css。
另一个问题
浏览 0提问于2012-12-20得票数 0
我是android开发的初学者,需要安装Genymotion。我去了它的官方网站并下载了安装文件。我双击了安装文件。然后,ı单击run按钮,用于“发行者无法验证您是否一定要运行此软件”。单击run按钮后,错误消息框将显示以下错误消息:
“安装文件已损坏。请获得程序”“的新副本。
我正在使用windows7。我该怎么办?提前谢谢。
浏览 6提问于2015-11-23得票数 1
每周,我的网站的每个文件夹都有.htaccess,当试图打开网站时,它会收到病毒错误。我从每个文件夹中手动删除.htaccess,然后站点就可以工作了。但几天后,我也遇到了同样的问题。我该怎么办才能解决这个问题呢?
浏览 0提问于2022-08-20得票数 0
我的IP地址已经被AKAMAI屏蔽了。因此,我无法连接到多个使用AKAMAI的网站,例如united.com。我的ISP是Comcast,我的盒子是调制解调器+路由器一体机。我一直无法更改我的公共IP地址(我试图更改我计算机的MAC地址并关闭该框,但它不起作用)。有没有办法让我更改我的IP,或者我在这些网站上永远被屏蔽了?
浏览 25提问于2020-01-04得票数 0
3回答
我有一个预防ddos攻击的简单思路。如果我的想法是错误的,请澄清我。
选项1
从对DDOS攻击的基本理解来看,攻击者正在向web服务器发送大量数据。那么,提供大数据上传到他们网站的网站呢?难道他们不是同时从很多上传用户那里接收到了很多数据吗?
web服务器不能像许多上传数据的用户一样对待ddos攻击吗?
选项2
网站报价怎么样,每个访问网站的人都要临时键吗?使用该临时密钥插入网站,唯一的一个(PC/IP)可以访问该网站,因此bot-net不能攻击该网站(bot-net没有临时密钥)。bot-net能记下密钥并插入到网站中吗?
附注:
这是类似的问题DDoS -不可能停下来?
浏览 0提问于2015-09-04得票数 1
回答已采纳
一天前,我的网站被拆了--收到主人的一条消息说,他们收到了美国银行的投诉,说我的网站被用来钓鱼用户。我设法使我的网站在线,并发现了一些奇怪的代码片段和文件,我没有放在那里。他们肯定是由一个黑客放置,但现在我害怕的是,黑客是如何进入我的网站,并将他的文件放在那里。
我能做些什么来防止这种事情再次发生!?
浏览 0提问于2009-09-10得票数 1
回答已采纳
比特币SPV (简化支付验证)客户不必信任任何完整的节点。它向一个完整的节点提交一个布卢姆过滤器,以便只处理所有块的一小部分。
但是,如果一个SPV客户端连接到一个恶意的完整节点,而这个恶意的完整节点不打算向这个SPV客户机发送一个块,而这个SPV客户机实际上包含这个SPV客户端感兴趣的事务,那该怎么办?
SPV客户端如何保护自己,使其钱包地址的任何事务不被完整的节点遗漏?
浏览 0提问于2020-04-27得票数 0
回答已采纳
只有静态内容的站点有什么样的攻击面: HTML、图像、CSS?这样的网站如何才能被成功渗透?
浏览 0提问于2014-06-21得票数 4
回答已采纳
1回答
我正在制作一个非常简单的角度应用程序,它需要几个不同级别的身份验证,为了实现这一点,我遇到了JSON令牌。
为了提高安全性,我已经读过几个地方来缩短令牌的生存期,但是,如果用户仍然登录并在令牌过期时主动访问站点,该怎么办?
我想我也可以在访问令牌的同时添加某种刷新令牌,但这是否比必要的工作要多呢?
我想我只是想知道JWT的应用范围有多广,使用一些有状态身份验证方法对我的应用程序是否更好。其他流行网站如何处理令牌过期的问题?
浏览 3提问于2018-07-25得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
