1回答
我正在使用AWS认知和用户名池在客户端系统上使用AWS提供的客户端SDK来进行身份验证。以及当用户被找到时,200AttributeName emailDestination j***@g***.com理想情况下,无论电子邮件是否存在,您都希望科尼图返回200。我知道什么是被认为是一个漏洞从来不是黑白的,但这
浏览 0提问于2019-05-31得票数 0
回答已采纳
3回答
我正在一个网站上工作,我想将CAPTCHA添加到用户注册页面,以防止用户名枚举。我与一个前端开发人员合作,他强烈认为我们不应该将CAPTCHA添加到注册页面中,因为这对用户来说是痛苦的,并且会降低我们的转换速度。我知道,有时站点的安全性与网站的可用性之间存在相反的关系,而且一些安全漏洞比其他漏洞更糟糕。如果有类似SQL注入漏洞的东西,我会坚持我们修复它,但我不确定用户枚举漏洞是否严重到足以证明我有理由为这个特定的修补
浏览 0提问于2013-09-12得票数 8
回答已采纳
当存在CVE-2015-5352漏洞时,PCI遵从性将失败。OpenSSH 6.9修复了此漏洞,但支持的任何Ubuntu版本(12.04、14.04、15.04和15.10)都没有补好。解决此漏洞的最佳方法是什么?
浏览 0提问于2015-07-23得票数 1
回答已采纳
1回答
OpenSSH登录到系统帐户
、、、、
在为客户端进行常规笔试时,我偶然发现了一个运行OpenSSH 7.2p1的盒子。我进去进一步调查了。我能够理解漏洞和漏洞本身的一些细节。然而,我需要帮助理解更多的事情。
我对SSH是如何工作的有一个基本的理解。这是一种与我所理解的非常同步的资源。其中一个用户是名为mongodb的用户,它的主目录被设置为/home/mongodb,并且还受到passwd文件中的x指示的密码的保护。我查看
浏览 0提问于2016-09-22得票数 2
回答已采纳
是否需要重新生成任何有关OpenSSH的私钥?我知道我必须重新生成任何SSL证书。
编辑:这句话我说得不够准确。我知道该漏洞存在于openssl中,但我在问这对openssh有何影响,以及是否需要重新生成openssh主机密钥。
浏览 0提问于2014-04-08得票数 9
据我所知,油灰是远程终端的最佳解决方案,但我们需要在Linux上运行ssh服务器。我是搜索谷歌,但没有找到任何方法远程终端没有ssh服务器。
因此,我的问题是,在没有ssh服务器的情况下,是否可以在windows上使用Linux终端。
浏览 0提问于2017-12-26得票数 -5
它发现了一个XSS漏洞。扫描步骤: Injected item: POST: localeCountry <--这是一个枚举值,不能更改为XSS字符串并存储在服务器中。我认为这是一个无效的漏洞,因为注入的项目不会持久,也不会影响其他用户。最好避开所有参数,但我想知道这个漏洞是否有效?
问: 1.这个漏洞有没有让其他用户点击你的XSS陷阱?
浏览 2提问于2012-10-19得票数 0
回答已采纳
我已经在用户登录门户中手动确认了一个SQLi身份验证旁路。有效载荷本身相当简单。该漏洞是否可用于执行其他任何操作,如枚举用户或注入web?
浏览 0提问于2022-08-04得票数 1
回答已采纳
1回答
API 404响应的信息泄漏
、、、、
通常,员工是由异步进程创建的,但如果失败,应用程序的管理员应该有权访问UI,并与他们的行管理器一起创建一个用户。从安全的角度来看,我想了解为什么这被认为是一个漏洞。我想知道为什么他们会关注这个问题,因为用户可以按需求列出,所以只要您能够调用经过身份验证的GET并获得所有用户,您就不需要敲POST api来枚举可能的LMs。我也不认为返回404以外的400会解决这个问题,因为当您可以确定目标用户的存在与否时,就会触发用户枚举。由于应用程序管理员可以提名另
浏览 0提问于2023-02-08得票数 0
如何在Amazon Linux上将OpenSSH从6.6.1p1升级到7.2p2?Result: SSH-2.0-OpenSSH_6.6.1 detected on port 22 over TCP.
e
浏览 36提问于2017-08-03得票数 0
在本地网络上扫描机器(这是唯一扫描的机器,并且正在运行7.4),Nessus报告了安装在机器上的过时版本的Dropbear中存在的漏洞。这台机器有OpenSSH,但没有落差。2016.74.0之前版本的Dropbear服务器可能容易受到以下漏洞的攻击:当处理用户名或主机参数时没有正确使用字符串格式说明符(例如%s和%x),因此存在格式字符串缺陷。(CVE-2016-7406) -在处理巧尽心思构建的OpenSSH密钥文件过程中存在一个漏洞,该文件是通过“下拉转换”导入的。这可能允许依赖上
浏览 0提问于2017-12-08得票数 2
回答已采纳
1回答
如何禁用CIFS空登录会话
、、、、
我最近扫描了我的服务器上的漏洞,一些ubuntu服务器有以下问题: CIFS空会话允许。描述: NULL会话允许匿名用户使用Windows或第三方CIFS实现(如http://www.samba.org或http://www.opensolaris.org/os/project/cifs-server这些匿名用户可以枚举本地用户、组、服务器、共享、域、域策略,并且可以通过RPC函数调用访问各种MSRPC服务。这些服务历来受到许多
浏览 0提问于2018-04-30得票数 0
回答已采纳
当我们创建一个Google帐户时,Google会告诉我们一个指定用户名的帐户是否存在。这不导致用户枚举吗?为什么不让用户先填写其他信息,通过CAPTCHA测试,然后在通过CAPTCHA测试后选择电子邮件地址?这真的会让用户失望吗?
浏览 0提问于2014-08-06得票数 10
回答已采纳
我一直被告知,编写自己的登录方法(例如,根据用户名和密码验证用户)是一种糟糕的做法,因此应该重用现有的库。我一直相信这一点,但在这种情况下,我正在寻找实际的威胁(C#)。
浏览 0提问于2014-07-29得票数 3
回答已采纳
3回答
我正试图在Windows上设置OpenSSH以提供SFTP站点。我在用户安全设置方面遇到了一些问题。下面是创建用户的基本步骤:将用户添加到openssh文件,并为cygwin添加指向客户端主文件夹的调整文件(例如: /cygdrive/e/homefolders/username)我遇到的问题是,用户需要拥有对OpenSSH程序文件夹的
浏览 0提问于2009-10-02得票数 8
Samba中有一个已知的漏洞,可以通过rpcclient利用。您可以使用rpcclient访问Samba服务器,然后通过使用诸如srvinfo、enumprivs、lookupname和lookupsids等命令,对黑客很有价值的信息(OS和平台信息、用户名和id谷歌搜索向我展示了这个漏洞的几种解释(比如:通过经过身份验证的SMB会话窃取Windows帐户信息和用rpcclient枚举Linux和OS上的用户帐户),但我在任何地方都找不到关于如何防范它的讨论。我试着指定
idmap config * :
浏览 0提问于2015-05-19得票数 0
我有一个EC2实例,它通过OpenSSH在Amazon (CentOS)上运行SFTP。我想运行一些测试来检查我不知道的漏洞,并且我想运行监视软件来监视可疑的行为。有什么可用的/建议?几个便笺
唯一能够通过SSH连接的用户是ec2-用户,该用户需要使用pem键。
浏览 0提问于2016-10-11得票数 0
回答已采纳
1回答
我已经看过很多关于在注册页面上创建一个特性的文章,在这个页面中,用户名将在数据库中自动检查,这样用户就可以知道他的用户名是否已经被使用了。然而,这对我来说似乎是非常不安全的。
浏览 7提问于2016-06-15得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
