腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
精选内容/技术社群/优惠产品,
尽在小程序
立即前往
文章
问答
视频
沙龙
1
回答
是否存在为pop/imap访问配置电子邮件的风险?
mobile
、
attack-vector
如果我的手机感染了一些恶意软件,而我与公司网络的唯一连接就是将电话中的电子邮件客户端配置为邮件(pop/imap),那么我的公司网络被破坏的风险是什么? 或者,对于想要破坏公司网络的攻击者来说,攻击矢量是什么,但他与网络之间的唯一连接是带有电子邮件客户端的电话。(移动电话不连接商业网络或wifi)
浏览 0
提问于2013-11-05
得票数 1
回答已采纳
2
回答
安全性:多个VPN用户
man-in-the-middle
、
vpn
、
arp-spoofing
、
isp
让我们假设有一个服务提供者在防火墙后面托管一些服务。两家不同的公司通过VPN连接到服务提供商的网络。(使用无法通过互联网访问的服务)每家公司都有自己的VPN隧道。A公司能读取/重定向/mitm公司的流量吗? 我知道隧道本身是安全的。如果两个连接都终止在服务提供者的网络中,会发生什么?有安全风险吗?攻击媒介或安全风险是什么?
浏览 0
提问于2020-04-30
得票数 1
3
回答
外部部署暂存环境所涉及的风险
penetration-test
、
risk-management
应用程序的用户将是公司员工,他们将通过公司网络和外部访问它。需要在准备环境上进行渗透测试,这将由公司网络中的不同团队进行。我想知道,如果在互联网上放置分期环境,是否存在任何风险。
浏览 0
提问于2016-10-17
得票数 2
1
回答
SSL证书对于内部网站有多重要?
web-development
、
security
、
ssl
我知道很多人都问过同样的问题,但我认为这真的取决于网站的类型。这就是为什么我要问关于我的网站的问题。 我正在为一家保险公司开发一个PHP网络应用程序。应用程序包含有关客户的所有信息,但该应用程序仅供公司的管理员和推销员使用。管理员创建一个用户,然后该用户可以添加客户或续保他们的保险。地址将类似于example.com/manage/,并且登录仅针对管理员创建的用户。当然,我将使用验证、salt、加密等,但是我需要SSL证书吗?
浏览 0
提问于2014-02-02
得票数 2
回答已采纳
1
回答
SSH到IP而不是完全限定的主机名:这是否降低MITM的风险?
man-in-the-middle
、
ssh
、
configuration
、
ssh-host-key
、
vps
我正在将配置管理应用于由VPS托管公司托管的VPS。不幸的是,改变托管公司不是一种选择。 此VPS具有以下属性: 当新成像或重成像时,它生成一个新的、随机的、SSH公钥/私钥对; 无论是VPS主机托管公司的网络接口,还是VPS托管公司的API,都没有提供一种方法来替换该密钥对为已知的密钥对; 无论是VPS托管公司的网络接口,还是VPS托管公司的API,都没有提供获取密钥对公钥指纹的方法; VPS主机没有签署(例如DNSSEC) DNS记录; VPS托管公司的网络接口和API确实允许检索VPS的IP地址; VPS托管公司的网络接口和API确实使用TLS,并且拥有来自一个体面CA的有效证书; VP
浏览 0
提问于2018-01-26
得票数 2
回答已采纳
1
回答
副总裁-责任范围
vps
我正在考虑让一个VPS在上面安装OpenVPN,以一种安全的方式从免费Wi网络连接到互联网。我的问题是,我的责任范围是什么,以确保我的VPS安全?如果受到破坏,攻击者是否有可能访问其他VPS或公司所依赖的软件/硬件来提供他们的VPS服务?我能对此负责吗?
浏览 0
提问于2017-03-21
得票数 1
1
回答
没有安全引导的TPM使用
encryption
、
tpm
、
iot
、
arm
我被要求提高公司物联网设备的安全性,并加密存储分区。它是一个通用的基于arm的设备,目前可以从各种来源(USB、网络、sd卡等)启动。 该公司希望添加一个TPM芯片来执行分区加密。 我是否正确地认为,一个缺乏安全引导的系统,例如,通过网络引导可以引导任何操作系统的系统,都不可能是安全的?我设想网络引导的OS可以要求TPM芯片解密加密的分区,这表明这个系统几乎没有实际安全性。 最后,如果有一个uboot变体使用TPM芯片来实现诸如短靴这样的安全引导,这实际上是安全的吗?我情不自禁地认为,一个允许任何引导加载程序运行的系统,将允许任何安全机制在足够的时间内被反向设计。
浏览 0
提问于2022-04-08
得票数 1
1
回答
木马、APTs和IP盗用
information-gathering
如果我是一家生产革命性高科技产品的公司的首席执行官,我的公司的所有利润都是通过这个产品创造出来的。我会很清楚(害怕阅读……)一个外国实体可能会在我们的网络上放置一些软件,这将对我们的产品设计、战略计划和我们的客户数据库进行扩展。 我应该害怕吗? 其次,攻击者会在网络上放什么-一个APT?特洛伊木马?键盘记录软件?
浏览 0
提问于2017-09-24
得票数 -6
2
回答
认证产品的随机代码的安全性是什么?
physical
我见过一家初创公司(验证Kero)正在开发一款用于验证消费品的产品。它把一个16位数字的秘密代码放在可划伤的涂层下。消费者通过网络、短信、IVR和移动应用等方式查找涂层背后的代码并发送给Kero,并将相应的公司名称、制造日期、产品名称、到期时间等发送给消费者。 这个想法在门外汉看来非常棒,也被孵化在一个顶级的城市孵化器里,并得到了许多ICT4D人的赞赏。但我的观点是这种产品是脆弱的。大量随机数可以被测试,并且可以很容易地过期。即使是原装产品或消费品,也会因此而向试验产品的人申报假货。 我想知道您对这种方法中可能存在的漏洞的专家意见。
浏览 0
提问于2016-01-04
得票数 2
5
回答
蜜罐是一个有效的威慑黑客成功危及您的网络?
honeypot
根据微软的说法,在你的公司网络中增加一个蜜罐是阻止黑客危害你的网络的有效方法。 蜜罐不是更多的用于研究目的,而不是理想的企业网络? 在你的公司网络上放一个蜜罐不会让黑客更好地控制攻击吗? 更多信息: 微软虚拟学院( 安全基础 )。第四题的测验就是这么说的。根据我在安全领域的理解,我回答错了。所以我很困惑。
浏览 0
提问于2014-06-17
得票数 34
1
回答
运行在公司网络中的Windows应用程序的安全性
windows
、
.net
、
vulnerability-assessment
、
vulnerability-management
、
desktop
我知道安全对于web应用程序来说是非常重要的,但是对于运行在企业环境中的windows应用程序来说,网络是无法从外部访问的。 我们是否需要将安全问题视为“高”问题,还是因为安全环境下的安全问题并不重要? 假设一个Windows (.net)应用程序在公司网络中的用户机器上运行,它有类似的问题 CWE-78: OS命令中使用的特殊元素的不正确中和(“OS命令注入”) 如果那是一个web应用程序,我知道风险是超高的。但是在windows应用程序的情况下,它应该被修复还是被忽略,特别是当我们考虑修复它的相关成本时?
浏览 0
提问于2021-11-04
得票数 1
1
回答
使用WPAv2易受攻击的思科?
cisco
我正在使用WPAv2与思科飞跃,我想知道这个设置有多安全?据我所知,LEAP中存在漏洞,但当前的安全标准是WPAv2。有人能帮我更好地理解这一点吗? 我是一家小公司的IT人员,网络经验有限,没有正式的培训。 提前感谢
浏览 0
提问于2011-06-08
得票数 0
回答已采纳
1
回答
为什么DDoS会攻击DNS源IP?
ddos
、
spoofing
、
botnet
、
udp
最近,我的许多朋友一直在谈论僵尸网络。他们说他们自己创造了。,很明显,我 我知道这都是违法的,所以我尽量不参与其中。 但我一直在想它们是怎么工作的。我在网上读过一些文章,也读过一些关于控制服务器和点对点通信的基本知识,但我仍然不太明白。有时我的朋友会问什么托管公司支持UDP欺骗,我不明白。C--他们只是从我假设的设备上发送UDP数据 在向DNS服务器发送数据时不欺骗源IP (例如)?
浏览 0
提问于2022-01-26
得票数 0
回答已采纳
1
回答
在HTTP提供的页面上在HTTPS域中使用AJAX的风险
tls
、
http
今天我在一家公司的临时服务器上工作时,我注意到他们在通过HTTP连接为面向用户的仪表板提供服务时,正在通过HTTPS连接承载API的子域。这会带来安全风险吗?我知道HTTP没有为通过网络传输的数据提供保护,但我不知道这是否会影响在用户浏览器中加载页面之后进行的任何HTTPS调用。 另外,一些注意事项:公司的仪表板是一个单一的页面应用程序。在加载页面时,我检查了网络流量,据我所知,所有AJAX请求都是通过HTTPS发送的,包括登录请求。 如果这是一个安全风险,你能告诉我一些官方文件,我可以用来说服公司,他们有问题吗?
浏览 0
提问于2017-04-30
得票数 2
回答已采纳
1
回答
DNSSEC很容易被欺骗?
dnssec
我想知道DNSSEC的目的,它到底想解决什么问题?我认为,通过将非DNSSEC DNS服务器插入服务于区域的非DNSSEC副本的网络中,可以很容易地欺骗DNSSEC。但也许这不是DNSSEC试图解决的问题吗? 使用DNSSEC,DNS服务器使用公钥加密来对彼此的区域进行签名和检查。例如,这可能有助于防止DNS缓存中毒。只有在检查DNS响应的签名后才会将数据添加到缓存中。 好的。 但是,客户端如何验证他们正在使用由DNSSEC保护的DNS呢?如果您试图防止DNS缓存中毒但不阻止DNS服务器的插入,那么DNSSEC是否值得这么做呢? 根据https://dnssec-analyzer.verisi
浏览 0
提问于2020-11-27
得票数 0
回答已采纳
1
回答
私人/公司APN的安全影响
mobile
我感兴趣的是,使用私有APN的公司的实际安全含义是什么,而不是使用标准网络,提供APN和VPN连接到主要的公司网络。 表面上看,VPN软件可能不需要一些好处,但我在想,在终端设备如何进行身份验证以及一旦连接后限制它们的适当访问方面可能存在风险。 另外,是否有任何已知的攻击利用使用网络提供的APN,这些攻击可以通过使用私有的APN来减轻?
浏览 0
提问于2013-08-14
得票数 6
回答已采纳
1
回答
公司网络上的受损移动设备
mobile
如果在公司网络上访问移动设备(智能手机/平板电脑),恶意用户/攻击者能做什么?
浏览 0
提问于2013-10-26
得票数 0
回答已采纳
1
回答
备份服务器可以用来防御DDoS吗?
ddos
当主服务器崩溃时,备份服务器是否会立即启动,从而杀死DDoS攻击或只是推迟攻击?一家中型公司需要多少个分布式网络来抵御DDoS攻击?
浏览 0
提问于2017-12-27
得票数 0
1
回答
加密流量分析
encryption
、
network
、
sniffer
、
sniffing
如果我隧道任何tcp流量,真正的ssh或任何ssl加密协议,会有人捕获流量能够进行某种离线解密使用捕获文件?他们用什么技术来做到这一点!? 在我的公司里,我们不得不打电话给一个网络提供商来分析我们的网络流量,因为我们的网络中有一些可疑的活动,他们连接一些类似snort的系统.而且我认为这个过程对于找到一个有经验的智能矿石攻击者是无效的。
浏览 0
提问于2016-04-16
得票数 0
1
回答
公开代理有哪些风险?我应该采取什么预防措施?
web-browser
、
proxy
工作场所的这个问题和它的顶级投票结果表明,使用代理来访问过滤过的网络内容对个人和公司来说都是非常危险的,使用非常强烈的措辞。 有很多代理人都是蜜罐。访问一个,然后他们通过你的电脑返回到你公司的网络,然后用赎金点击它。 我几乎看不出通过开放的代理来读取web内容是如何使用户面临这些风险的。我假设用户采取了一些预防措施,包括 不安装代理访问的第三方程序。 不安装用于代理访问的第三方浏览器扩展 不在代理会话中输入他的凭据或其他敏感信息 更新软件以防止非零日浏览器受到攻击。 使用通常的网络冲浪预防措施没有减轻的网络代理会带来什么风险?
浏览 0
提问于2018-02-20
得票数 2
回答已采纳
1
回答
作为一个私人个人,我可以从为我的家庭网络雇佣一个五酯的人身上学到什么?
penetration-test
公司雇用外部的戊酯来探测他们的系统以暴露漏洞,这是非常正常的。寻找迎合这一市场的公司并不难,只有几个候选人处于网络搜索的另一端。 然而,似乎大多数或所有这些公司都迎合了企业对企业的市场,而不是个人。 作为个人,假设我能找到一家信誉良好的公司愿意与我合作,而且我愿意为他们的服务支付费用,我还能指望通过雇佣一家受委托的公司来了解我的家庭IT安全吗?我是否有可能通过将我的网络连接到互联网上几分钟,并监视产生的防火墙日志,并寻找软件更新,就可以了解到一些无法发现的东西?
浏览 0
提问于2019-07-09
得票数 0
回答已采纳
1
回答
ARP欺骗不更新ARP表
arp-spoofing
、
arp
我目前正试图使用Virtualbox中的Kali Linux进行ARP欺骗/ARP中毒,以检查我公司网络的安全性。我现在做了一个小五倍,所以我被允许这样做。我想在笔记本电脑和路由器之间找到一个中间位置。因此,假设我使用的是以下内容: 带有外部USB适配器IP: 192.0.0.3 | MAC: CC:CC:CC:CC:CC:CC的Virtualbox中的Kali Linux 使用Windows 10 IP: 192.0.0.2 | MAC: BB:BB:BB:BB:BB:BB的目标笔记本电脑 默认网关IP: 192.0.0.1 | MAC: AA:AA:AA:AA:AA:AA 因此,我尝试了一
浏览 0
提问于2020-04-27
得票数 2
回答已采纳
2
回答
网络循环是否被认为是DoS攻击?
networking
、
loop
、
ddos
网络循环是否被认为是DoS攻击? 我看了这个教程,在1:20上: 作者说网络循环,可以是网络中的DoS吗?
浏览 0
提问于2018-11-06
得票数 1
回答已采纳
1
回答
我的网站托管/域名注册公司是否有权删除我在其服务器上的网站或禁止我的帐户?因为非法的东西
web-hosting
、
copyright
、
terms-of-use
大多数网络托管初学者都在寻找这个问题的预期答案;假设我拥有一个托管公司的网站(Bluehost/GoDaddy.)但我的网站包含非法的/copyrighted材料(比如,允许访问者免费下载付费产品,如破解软件、应用程序、看电影等)。在这种情况下,托管公司是否有权删除我在其服务器上的网站或禁止我的帐户?如果有版权的材料/产品的所有者向我的托管公司报告了我? 如果他们有权利删除我的网站在其服务器或禁止我的帐户,那么为什么非法洪流网站仍然在互联网上仍然存在?他们是否在使用自己的网络托管服务?或者只是有一些网站托管/域名注册公司允许他们的客户在没有使用策略的情况下托管/注册他们想要的任何东西。
浏览 0
提问于2021-07-05
得票数 1
3
回答
公司膝上型电脑的互联网接入
network
、
privacy
我的室友让我与他分享我的互联网连接,为他的公司笔记本电脑。我可以选择给他无线(WiFi凭证)和有线接入(以太网)。 如果我决定分享, 我应该选择有线还是无线?(速度和覆盖范围尚未成为问题。) 他的公司IT部门可以知道哪些信息,从我的网络中获取哪些信息,他们可以利用什么? 我可以采取什么措施来保护我的网络和它上的其他设备? 我对这种事太多疑了。
浏览 0
提问于2020-11-04
得票数 1
3
回答
WAF有道理吗?
amazon-web-services
、
amazon-waf
我在用aws运行一个公司的web应用程序。这个网络应用程序支持一个cognito+External身份提供商,因为它只允许公司员工访问该应用程序(然后他们使用本地凭证登录该应用程序,因为不可能使用该应用程序)。在这种情况下,设置WAF是否有意义?如果未对潜在攻击者进行身份验证,则无法发起攻击。谢谢 法里德
浏览 6
提问于2020-04-17
得票数 0
回答已采纳
1
回答
CVE-2014-1295 (苹果的安全传输和三重握手攻击)
tls
、
nonce
苹果公司今天发布了一些更新。他们还没有发布公告,但他们可以在这里获得:https://gist.github.com/FredericJacobs/11189734。 在CVE-2014-1295的写作中: 安全-安全运输..。影响:具有特权网络位置的攻击者可以捕获数据或更改在SSL描述保护的会话中执行的操作:在“三重握手”攻击中,攻击者可以建立两个具有相同加密密钥和握手的连接,将攻击者的数据插入一个连接,然后重新协商,以便可以将连接转发给对方。为了防止基于此场景的攻击,安全传输被更改,因此默认情况下,重新协商必须显示与原始连接中显示的相同的服务器证书。 如何能够运行协议的两个实例并获得相同的
浏览 0
提问于2014-04-22
得票数 1
回答已采纳
2
回答
这种基于令牌的web服务安全吗?
authentication
、
web-service
注:最初在https://stackoverflow.com/questions/24012390/is-this-token-based-web-service-secure提出的问题,但这里似乎是合适的地方。 我目前工作的公司有一个内部应用程序,它提供了一些RESTful (某种程度上,只是URL的集合)API。要访问公司网络之外的API,需要一个HTTPS连接和一个令牌(如果在公司网络中访问,则不施加任何限制)。 要调用API,调用方(另一个内部应用程序或雇员)需要创建一个令牌,如下所示: 排序URL参数 带有salt (全局常量)的排序URL的散列部分 使用哈希的子字符串作为令牌。 将
浏览 0
提问于2014-06-03
得票数 2
回答已采纳
3
回答
RDP上本地资源映射的安全性
usb
、
rdp
我和一群做网络级程序的开发人员一起工作。为了防止这些开发人员意外地在公司网络上造成问题,他们被赋予了自己的隔离网络(不同的ip范围和共享的DMZ)。 在过去,这些开发人员维护了2台计算机(每个网络一台),当他们需要将文件从一个网络转移到另一个网络时,他们会使用一个拇指驱动器。然而,我们最近搬迁了办公室,并向每个开发人员提供了一台升级的计算机,并告诉他们,为了访问公司网络,他们可以远程进入DMZ中的RDP服务器设置。问题是我们不能再使用拇指驱动器了。我们提出的解决方案之一是使用“显示选项”下的“本地设备和资源”选项卡将本地驱动器映射到RDP会话,然而,这被称为“犯规”。 如何通过RDP映射“本地
浏览 0
提问于2017-09-05
得票数 1
2
回答
外部应用程序的身份验证
web-application
、
authentication
、
active-directory
我需要为公司内部使用设计一个应用程序。应用程序必须托管在外部。理想情况下,我希望该应用程序能够针对公司ActiveDirectory进行身份验证和授权。 然而,这里有两个问题: 即使公司网络不可用,身份验证也必须有效。 出于安全考虑,我不希望将ActiveDirectory复制到外部位置。顺便说一句,这是正确的关注吗? 我有一些愚蠢的想法,比如在外部托管"LDAP代理“,这将在有限的时间内节省凭据散列。这段时间应该足以建立网络。当网络关闭时,"LDAP代理“根据本地散列检查凭据。这一想法似乎过于家喻户晓,缺乏安全感。是否可以使用ActiveDirectory轻量级目录服务(AD
浏览 0
提问于2013-11-05
得票数 2
3
回答
100 to /S升级至1 1gbps网络--防止DDOS
centos
、
ddos
在过去的几周里我一直受到DDOS的攻击。 现在看来,我的服务器网络正在被淹没,直到它没有空间来接收和发送正常的包。 我运行CentOS5.6,并加强了SYSCTL和iptables,以尽可能地抵御SYN攻击。 我有一个100 my网卡和连接到我的托管公司。 正常输入流量约为8mbit/s,攻击发生时数据峰值达到100 8mbit。 如果我将服务器升级到1 1GBPS网卡+网络连接,它能帮助我抵御攻击吗? 我希望管道在受到攻击时不要这么快泛滥。
浏览 0
提问于2011-08-08
得票数 5
回答已采纳
1
回答
Web服务器:需要VPN吗?
vpn
、
web-hosting
、
dedicated-server
我们正在创办一家新的网络开发公司,对网络服务器知之甚少。托管公司想租给我们一个虚拟专用网设备(Sonicwall TZ215)。我们需要这个吗?还是硬件防火墙足以保护服务器免受黑客攻击,DOS攻击等等?vpn设备的安装非常昂贵,更不用说每月租用一个设备的费用了。如果他们是好的,我们可以买它,并让托管公司代理我们的服务器到它。 这将用于专用物理服务器(Windows 2012 Standard)。
浏览 0
提问于2014-05-31
得票数 -3
回答已采纳
5
回答
家庭银行,反病毒安全环境还是虚拟机上的Linux?
linux
、
virtualization
、
banks
、
e-commerce
考虑到我确实在平板电脑上使用Windows,我可以连接到私人和公共网络,而且我现在不能使用Linux实时发行版,这是做家庭银行业务最安全的方式吗? 到目前为止,我一直在考虑这些方法: 使用防毒公司提供的安全环境(即广阔的安全区、卡巴斯基安全浏览器等); 在虚拟机上运行Linux。 我的问题是: 哪种方法是两者之间最安全的方法? 你能给我一些我应该考虑的额外建议吗?
浏览 0
提问于2016-01-11
得票数 5
回答已采纳
3
回答
我应该输入假密码到钓鱼网站吗?
phishing
希望我选择了正确的论坛来问这个问题。 前几天发生在我身上。我收到管理员的电子邮件,要求我更新密码。“不要再来了。”我嘴里说着,然后点击了链接。 幸运的是,我总是检查URL,这一次拯救了我。我点击了钓鱼电子邮件。该站点看起来非常像Microsoft (我们使用Microsoft ),它希望我首先输入我的当前密码。 在那一刻,我已经知道我必须谨慎对待下一步的步骤,并正在调查我在网络钓鱼网站上能做些什么。 我已经被激怒了,我想在这里提交一些真正冒犯我的“当前”密码。 显然,我不使用脏话作为我的密码,我遵循通常的指导原则,在如何创建密码。 最后,我什么也没做,但问题仍然萦绕在我的脑海中:在网络钓鱼网站
浏览 0
提问于2018-11-11
得票数 3
回答已采纳
1
回答
配置接口VLAN hp交换机
switch
、
vlan
、
hp
、
interface
我的公司购买了一个新的开关品牌惠普,我在上面创建了两个VLAN。VLAN 2适用于通过光纤电缆和其他VLAN 1访问互联网的端口47和49,这些端口是为其余端口提供的。交换机总共有48个端口,并想知道如果我需要为VLAN2分配一个IP,VLAN1的选项VLAN接口被分配给一个IP,即内部网络。
浏览 0
提问于2016-05-09
得票数 0
2
回答
在公共互联网中公开默认服务器主页的安全问题是什么?
webserver
、
information-gathering
我在互联网上看到,有几家网站公司公开了默认的web服务器主页,如Tomcat、NGNIX、Apache web服务器。我一直认为公开默认的web服务器页面并不是最好的做法。但是现在大多数的网络服务器都避免了主页中的任何敏感信息。那么,目前,在互联网上公开默认的web服务器页面有什么问题吗?
浏览 0
提问于2018-09-20
得票数 0
2
回答
从技术或开发人员的角度来看,黑莓“黑劫”是如何工作的?
security
、
vpn
、
firewall
、
hacking
、
blackberry
黑顶技术是一种使用典型的BES设备在内部连接到公司网络的技术。它是几年前在DefCon上宣布的,并不是什么新鲜事。 这是如何工作的,以及减少这种利用风险的方法是什么?
浏览 0
提问于2010-08-26
得票数 2
回答已采纳
1
回答
Chrome不打开Https网站
linux
、
fedora
、
chrome
、
ssl
、
https
我是代理服务器的公司用户。我正在开发Fedora 20操作系统并安装了Chrome浏览器。 我在“设置->网络->更改代理设置->网络代理”下设置代理设置。 我在HTTP代理中给出了代理设置。 PFA图像 📷 但我不能通过HTTPS访问一个网站,它需要时间来加载,最后它返回网站没有找到。 我需要在全系统范围内改变任何东西吗?如果是这样的话,是怎么做的?
浏览 0
提问于2014-09-23
得票数 3
1
回答
现场白名单与场外思科VPN
web-application
、
network
、
vpn
、
whitelist
一家我申请做网络软件测试员的公司要求我在网站上,这样他们就可以把我放到他们的白名单上。然而,我以前有一份工作,允许我在任何地方工作,只使用思科VPN。 现场白名单比使用场外VPN更安全吗?怎么会这样呢?
浏览 0
提问于2018-11-30
得票数 1
回答已采纳
1
回答
反DDoS服务器场真的有效吗?
ddos
、
web-hosting
我希望在一个数据中心主持一个网络应用程序,我正在考虑一些选择。他们似乎都有信誉,并声称提供反DDoS保护。 如果几乎每一家主机提供商都提供反DDoS保护,这是否意味着( a) DDoS攻击的威胁较小,因为反DDoS技术已经赶上,或者( b)这些说法中有许多不像广告中所宣称的那样可靠,如果是的话,我如何判断一家网络托管公司是否真的受到了DDoS的保护? 谢谢。
浏览 0
提问于2017-02-11
得票数 3
回答已采纳
2
回答
网络防御和网络安全之间是否有意义的区别?
terminology
我一直在向人们描述一些创业的愿望,当我说我有兴趣创办一家“网络防御”公司时,IT领域的其中一位被打断了,他说“网络安全”是一个恰当的术语。 使用网络安全术语和网络防御术语有什么区别吗? 我的意思是,我能安全地交换两个术语吗?我认为没有,因为前者似乎包含更多的内容,而后者似乎只是安全的被动方面。
浏览 0
提问于2016-10-24
得票数 1
1
回答
现在使用Windows 8.1的风险是什么?
mobile
、
operating-systems
、
patching
、
risk
我的朋友在一家税务会计公司使用Microsoft Phone 8.1手机。由于它已经五年没有收到安全更新了,我相信这是一个重大的信息安全风险。然而,公司的负责人并不认为这是一个重大的风险。 手机上只有彩信、短信和电话。MMS有时被用来通过图片向公司发送税务文件。没有网站浏览,它甚至没有连接到公司的网络。 你能帮我向澳大利亚的一位注册会计师解释一下为什么这是商业风险吗?您有到澳大利亚政府网站或专业协会网站的链接吗?
浏览 0
提问于2020-10-29
得票数 1
1
回答
ISO与密码安全
password-management
、
nist
我得通过背景调查。向客户提供服务的公司称为验证公司,公司声称拥有数据安全计划、ISO认证和美国联邦客户。 我惊讶地得知,公司提供了一个基于网络的系统,并将用户名和密码通过纯文本电子邮件发送到外部系统。例如,该公司将向AOL或Mindspring帐户发送邀请电子邮件。 我知道通过电子邮件发送密码违反了NIST的做法。例如,它违反了s 800-53‘S认证管理IA-5和可能的IA-6.这也违反了of 800-118的处理方法。 有没有人知道在任何ISO下发电子邮件使用纯文本密码是可以接受的做法?数据敏感性是否影响ISO下的处理?
浏览 0
提问于2014-05-21
得票数 2
回答已采纳
1
回答
IDS在捕获目标攻击方面有多有效?
attacks
、
ids
、
detection
最近,我对非常熟悉。据我所知,Site处于IPS/IDS系统的顶层,被一些最大的财富500强公司所使用。 我惊讶地看到大量的假阳性和总体缺乏标记,这可能是特定的指示有针对性的攻击。 我看到一位网络安全分析师报告了许多可能可疑的警报,例如与SQL注入有关的警报。分析师认为这些都是假阳性。当询问如何在软件中确定这一点时,我被告知没有更多的特定标签/警报类型需要调查。 由于似乎缺乏特定的警报,我不得不想知道在最高级别的IDS软件在检测专门的目标攻击方面有多有用。 为了澄清我所说的攻击类型,我将举一个例子: 针对特定目标的端口扫描 针对特定目标的SQL注入尝试 获得的凭据,例如从数据库中获得的凭据,这
浏览 0
提问于2012-02-25
得票数 6
回答已采纳
1
回答
为什么攻击者不关心掩盖被感染的僵尸网络设备的IP?
botnet
我被判刑了: 如果使用僵尸网络创建攻击,则跟踪攻击返回到其源的可能性很低。对于增加的混淆级别,攻击者可能会让每个分布式设备也欺骗其发送数据包的IP地址。如果攻击者正在使用僵尸网络(如Mirai僵尸网络),他们通常不会关心隐藏受感染设备的IP。 为什么攻击者不关心掩盖被感染的僵尸网络设备的IP?
浏览 0
提问于2020-03-25
得票数 1
1
回答
问题,以确认一个好的立场,在网络应用安全?
appsec
、
penetration-test
、
audit
应该问哪些问题来评估一家公司的网络应用安全? 我们公司正在与另一家公司合作,以便将网络应用程序的安全工作外包给他们。为了确保他们提供正确的资产,应该考虑问哪些问题、文档或流程? 另外,他们可能为我们做的测试是黑匣子安全评估,包括但不限于webapp安全评估、渗透测试、缓解查询和回答客户端的任何查询,如果客户端不一定了解所进行的安全评估的技术方面。
浏览 0
提问于2015-03-09
得票数 1
1
回答
如何在现代浏览器中启动可执行文件?
security
、
web
我负责我们的公司应用菜单页面(仅内联网)。它包含许多指向资源的链接(网页和已安装的应用程序),并为当前用户量身定做。 在过去,我使用applet允许直接从浏览器启动已安装的应用程序。 公司网络正在进行改革,我被告知要找到一个不需要任何插件的解决方案。 我的第一次尝试是注册一个自定义协议处理程序。菜单提供程序包含所有链接和应用程序命令的定义,每个用户都有不同的权限。我可以想象,当为用户创建菜单时,命令可以被编码并添加为类似于custom://base64encodedcommand的内容。处理程序将解码该命令,执行检查并执行它。 这在IE,FF和Chrome中运行得很好。目前,我们主要有Wind
浏览 1
提问于2015-07-10
得票数 2
回答已采纳
3
回答
是否存在绕过Windows密码登录的USB漏洞?
exploit
、
usb
我在一家中小型公司工作,完成大部分IT任务,包括系统管理、网络管理,甚至开发内部软件。最近,我的老板(首席执行官)告诉我,公司的一些钱被偷了(电子的,比如电汇之类的),而且有强烈的迹象表明这是我们的一个雇员干的。 该公司聘请了第三方进行调查,他们做的一件事就是查看包括首席执行官在内的多个工作站。引起我注意的一件事是,他告诉我,“调查员”想要查看他的电脑,这台电脑要么被锁定,要么根本没有登录。他提出输入密码,这样这个人就可以做他想做的事,但他拒绝了,然后插上了USB卡,突然登录到了账户中。 我试着在网上搜索类似于USB漏洞的信息,但是我发现了大多数关于BadUSB漏洞的信息,这看起来并不适用于这
浏览 0
提问于2017-09-06
得票数 3
回答已采纳
2
回答
如何解决应用程序数据库的危害
appsec
、
databases
、
system-compromise
最近,我在评估IT安全性时遇到了一个场景。我是这个领域的新手,我的知识是有限的,所以我不确定我对这个场景的回答是否合适。如果有人能帮上忙的话。所以情况是: 一家小公司决定将他们的基础设施移到云端。在迁移活动中,他们发现其中一个数据库服务器上有4个未知的本地Windows用户。这引发了技术审查和内部调查。 所发现的问题是: 服务器上创建了4个本地未知用户。 MS数据库上共有30个数据库级用户. 数据库服务器存储20个web应用程序的数据。 基本的发现是,有5个web应用程序被破坏,其中 1个站点存在命令注入问题。 1站点存在SQL注入问题。 1个站点存在XSS和CSRF问题 2个站点没有进行任何
浏览 0
提问于2017-08-26
得票数 2
1
回答
在公司环境中保护加密货币私钥
security
、
passwords
、
cryptography
现在特斯拉已经购买了大量的BitCoin,其他公司可能也会效仿。如果我的公司想这么做的话,我在想该怎么做。 我很熟悉私人储存钥匙的方式。 我可以看到两种可能性: 首席财务官或类似的人将是唯一有钥匙的人,有某种类型的备份。数据的处理方式与个人的做法非常相似。 信息技术(I.T.)可能会被召唤。例如,他们可能会编写一个机器人,以一定的价格或标准购买密码。 如果涉及到信息技术,那么一个或多个程序员或is人员就可以访问这些密钥。如果他们不诚实,或者离开了公司,他们就可以用钥匙把所有的密码都转移出去。即使if为公司创建了一个应用程序,“坏人”也可以完全在公司网络之外使用私钥进行传输。 我在想,一种方法可
浏览 0
提问于2021-02-18
得票数 -1
扫码
添加站长 进交流群
领取专属
10元无门槛券
手把手带您无忧上云
相关
资讯
英国黑客利用僵尸网络攻击谷歌等公司被监禁2年
维斯塔斯公司的数据因网络攻击而 “被泄露”。
奥林巴斯Olympus被网络攻击打哭了
游戏公司如何判断是否被DDOS攻击?
安全公司:Brinc Finance私钥泄露导致被攻击
热门
标签
更多标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储
活动推荐
运营活动
广告
关闭
领券