1回答
我面临着某种"MitM“攻击类型,我真的不知道如何搜索,因为我不知道它叫什么,所以我在黑暗中,需要一些帮助和建议。
假设有一个购物网站:shop.com客户登录后,可以浏览商品,把它们放到购物车里,最后,他们可以结账,在那里他们被重定向到支付处理器,例如: paypal。该网站本身不处理任何付款或信用卡,它重定向到一个安全的网站。
有人伪造网站:fake-shop.com
当客户访问这个假网站时,它会调用原始的shop.com并向客户显示结果,但也会向其注入javascript代码。
假服务器不关心客户数据,他们什么都不拿,它只是通过假服务器,它基本上是一个代理服务器,在客户和真正的服
浏览 0提问于2022-11-21得票数 1
回答已采纳
1回答
我在我的网站上默认使用csrf保护。网站上有一些表单,允许用户将数据发送到DB (如评论)。
正如你所知道的- csrf保护足以防止攻击和注射?
浏览 3提问于2016-01-15得票数 0
回答已采纳
2回答
我继承了几个网站,这些网站向网站管理员发送了一封电子邮件,每次都有404错误。我每天都会收到少量的错误,但有时我会在几分钟内从这些站点得到几十个甚至数百个错误。给出他们正在寻找的内容(如phpmyadmin、phpmyadmin、寄存器、admin等目录以及setup.php、register.php、admin.php等文件)这显然是一个垃圾邮件,试图访问该网站。
有什么办法可以阻止他们看网站吗?我应该建立一个提供虚假信息的蜜罐吗?我该如何做到这一点?
我猜其他网站(可能都是吧?)我处理的那些错误正以同样的方式被“攻击”,但我没有一个脚本以同样的方式报告这些错误,所以吱吱作响的车轮引起了我的
浏览 0提问于2012-01-26得票数 2
2回答
我读过的大多数例子都是从恶意网站开始的。让我说,我正在创建一个没有恶意意图的网站。网站什么时候变得容易被点击攻击?在没有XSS漏洞或我的服务器被破坏的情况下,这种情况会发生吗?如果是这样的话,是怎么做的?
浏览 0提问于2019-03-12得票数 3
回答已采纳
我刚在看
Lax: cookie不是在跨站点请求(如加载图像或帧的调用)上发送的,而是在用户从外部站点导航到源站点时发送的(例如,如果遵循链接)。如果未指定SameSite属性,则这是默认行为。
如果这是默认情况,那么这不意味着CSRF攻击就不会发生吗?如果有人在后台加载运行Javascript的恶意网站,向受害者当前登录的网站发出简单的POST请求,那么默认行为是cookie不会被发送,对吗?
另外,为什么有人会选择严格而不是松懈呢?为什么要阻止用户的浏览器在导航到原版网站时将cookie发送到原版网站,这是严格的操作吗?
浏览 1提问于2021-06-28得票数 0
回答已采纳
我在亚马逊网络服务的EC2服务器上有一个WordPress博客。我按照亚马逊网络服务的this教程,配置了拥有apache:apache的目录2775和文件0664的web root /var/www/html权限,我可以正常地安装我的网站并通过wordpress进行编辑。 然而,上周我注意到网站上有一些奇怪的行为,当我查看网站根目录时,我发现一个新的目录被创建了,里面全是垃圾的php文件。该目录具有随机名称和所有权apache:apache 这是一个SSL服务器,所以它在端口80和442上有0.0.0.0的访问权限(我通过LetsEncrypt和HSTS有SSL)。 我的问题是:某人如何能
浏览 19提问于2019-03-12得票数 1
2回答
我正在建设一个网站,将有可能添加评论的新闻。我也不确定如何防止用户发表评论,比如:
<script>
jQuery(document).ready(function() {
alert("Tes");
});
</script>
为了建立网站,我使用MVC3。
我的问题是:在这种情况下可能存在什么样的线程?像这样插入评论的可能性有多大?
浏览 1提问于2014-02-03得票数 0
1回答
让我们以谷歌和其他流行的银行网站为例,它们使用cookie。
我一直在与一个使用角的网站工作,该网站使用Laravel作为API。数据存储在cookies中,cookies在客户端(包括JWT )中易受攻击。
对于使用基于cookie的身份验证的网站,除了设置cookie的安全标志和选项之外,它们做了哪些安全实现和实践来保护和保护数据不受任何攻击?
下面是一些特定的cookie攻击:
CSRF饼干中毒
XSS
会话固定
偷听、劫持饼干/偷窃
来自相关主机名的Cookie注入
曲奇驱逐
直接曲奇注入
TCP/IP劫持
流行网站和银行网站如何处理这些攻击以保护存储在cookie中的数据?
浏览 0提问于2019-08-07得票数 0
定义爬网程序(maxpage,query,s_date,e_date):
s_from = s_date.replace(".","")
e_to = e_date.replace(".","")
page = 1
maxpage_t =(int(maxpage)-1)*10+1
f = open("C:/Projects/Capstone/emotion_like.txt", 'w', encoding='utf-8')
while page < maxpage_t:
浏览 1提问于2020-05-12得票数 0
1回答
我在下面的网站上做这个简单的教程:
他们使用的代码是安全的,还是黑客可能以某种方式进入?
谢谢
PS:如果有问题,它们是什么,我如何防止它们。有没有更好的教程?
浏览 1提问于2011-05-06得票数 0
回答已采纳
这就是问题所在。我正在主持大约20个Wordpress网站在一个主机。当我从病毒中清除一个网站时(.ico文件将代码注入到index.php中),另一个已经清理过的网站被再次注入(在几个小时或几天内)。
对所有sql基进行备份和删除所有文件的解决方案-对我不起作用-因为在一些网站中,我的小自定义脚本(没什么,只是在html中做了很小的修改,非常肯定我没有错误地创建漏洞)。
所以我的问题是:
是否有可能在cPanel中分离主目录,这样每个网站都会彼此分离?
如果不是,将文件管理器中的权限更改为例如544将停止编辑文件?
关于如何永远删除这个黑客和所有后门,还有其他解决方案吗?
浏览 0提问于2018-08-26得票数 0
1回答
我想知道如何才能使您自己的站点在Sql注入类型的攻击下完全安全。我读到在htaccess文件中启用魔术引号gpc就足够了。这足够了吗?还有别的把戏吗?如何了解脚本是否对Sql注入开放?例如,此代码段与攻击sql注入?
$sql = $_REQUEST['id'];
$sql = mysql_real_escape_string($sql);
$Query = "DELETE FROM Y WHERE id = ".$sql;
例如,像facebook或google这样的大型网站如何防止这种类型的攻击?对不起,我的英语...
另外,我不能用面向对象
浏览 0提问于2013-06-08得票数 0
我正在研究如何在网站的每个网页中有效地包含config.php,我在stackoverlow上找到了一个。
用户"user187291“就如何包含它给出了一个非常有趣的答案,推荐了一种”由内而外“的方法。
$page = isset($_GET['page'])
? preg_replace("/\W+/", "", $_GET['page'])
: "home";
include "$page.php";
问题是,他为什么要使用preg_replace?
浏览 0提问于2012-12-02得票数 0
回答已采纳
1回答
我正在制作一个用户数据库,我在考虑安全性,这让我思考,当我将在每个人身上都有唯一的用户盐时,拥有一个网站盐真的值得吗?
md5(GLOBAL_SALT . $password . $user_salt);
vs
md5($password . $user_salt);
我的想法是,如果网站遭到黑客攻击,黑客无论如何都可以访问全球盐。
浏览 1提问于2012-10-25得票数 1
回答已采纳
1回答
因此,在最近的一次DDoS攻击中,我们的网站摧毁了服务器上的所有站点,之后,我开始研究如何阻止这对所有站点造成如此严重的影响。如果DDoS下的站点出现故障,我可以用另一种方式来处理。我担心的是其他网站。
我可以很容易地处理内存使用的最大使用内存设置,一切都很好。但就CPU的使用而言,它似乎并不那么简单。
到目前为止,我的方法是在以下设置中使用CPU监视:
最大CPU使用率(百分比)- 60
刷新CPU使用率(分钟)-5
执行的操作-停工
使用这些设置(当运行测试时,锤击CPU),大约90秒后(不知道为什么是90秒?!)在该工作进程的CPU使用率超过60%的情况下,会发生以下情况:
事件日志中的
浏览 0提问于2011-05-30得票数 4
1回答
我已经在移动应用程序上与JWT合作过,但我将首次在一个网站上实现它,以便进行身份验证,而且我还有一点还不明白:
如果我在localStorage中使用JWT令牌,XSS攻击是可能的。
如果我在cookie中使用JWT令牌,那么CRSF攻击是可能的。
但是,如果我在HTTPS上使用JWT令牌和httpOnly+secure cookie,并且令牌生存期为1个月,那么在这种情况下,CSRF攻击仍然可能吗?
我在web上看到了使用cookie的自定义令牌,或者使用localStorage或JWT的自定义令牌,但是我没有明确地得到httpOnly+secure cookie + JWT
浏览 3提问于2016-02-10得票数 16
回答已采纳
我已经创建了一个后端使用asp.net 3.5和SQL Server2005的网站
我们已经创建了管理网站,用于使用安全用户帐户更新数据库中的数据。我为live工作了一段时间。
一段时间后,我们发现一些特定的html标记被插入到数据库的字符串域中。
看起来像是某种攻击
有没有人能建议我如何防止这种攻击。
浏览 0提问于2012-11-02得票数 1
我想在我的react应用程序中设置授权。这是出于安全考虑,所以我的API只能被使用我们网站的人访问。但我的web应用程序没有用户登录,也不需要任何用户登录。我的后端使用rest。
我将如何使用令牌进行授权?
如何在页面加载之前设置初始令牌?
浏览 10提问于2021-12-13得票数 0
金融网站(银行、信用报告机构等)在验证您的身份时,通常使用两个阶段:
标识符(帐号、电子邮件等)
一个令人难忘的词中的两个字符
我注意到,如果我不能正确认证(错误的字符,网站错误),这些网站要求完全相同的字符组合,从您的难忘的单词。
这一政策似乎是广泛存在的,这表明这对安全有一定的好处。
这样对安全有什么好处(我想不出来)?
浏览 0提问于2017-12-14得票数 1
回答已采纳
鉴于假设情况:
一个用户登录他的银行网站
服务器返回一个只包含用户id、加密的Http-专用cookie。
对于每个请求(例如在传输资金时),服务器对id进行解密和检查。
在任何表单上都不会生成CSRF令牌,并且请求验证是基于加密的id的。
在这种情况下,CSRF攻击可能吗?如果是的话,如何运作呢?
浏览 0提问于2016-11-07得票数 2
1回答
我有一个网站,用户可以选择一个文件从他们的本地机器,操作它,然后保存它。
该网站完全用JavaScript编写,以确保它是纯粹的客户端。用户选择的文件内容是否完全安全(从网站本身的角度来看,我知道用户可能在他们的本地机器上有恶意代码,等等)?
浏览 0提问于2019-09-19得票数 1
2回答
现在越来越多的网站要求新用户验证他们的“身份”,要求用户证明他/她可以使用电话号码(通常是电话号码)识别的设备。
经常被引用的原因是“保护你的帐户”这一相当非特定的原因。
我同意,如果用户只使用台式机/膝上型电脑与服务交互,使用手机作为“你拥有的东西”的带外验证可以有效地被视为双因素认证。
然而..。所有在线接入的超过50%现在都是使用移动设备完成的,比如智能手机。
使用移动设备来证明用户可以访问所述设备,是否会破坏隐含的附加安全性?
浏览 0提问于2016-04-09得票数 4
2回答
假设我有一个网站,它使用基于4位OTP的身份验证进行登录,即用户将输入他们的移动号码,在输入的移动号码上接收OTP,输入接收到的OTP即可成功登录。
如果我能够访问所有已注册移动号码的子集,我有一种方法来破解这种基于登录的机制,我想知道它是否有效,如果是的话,如何防止同样的情况发生。
比方说,我有一个100,000个手机号码的列表,注册/使用这样一个网站。
现在,我将多次执行以下过程。
从已注册电话号码列表中选择以前未使用的电话号码。
点击服务将OTP发送到注册电话号码(我无法访问该号码)。
后台的网站将生成一个随机OTP,并将其发送到注册的移动电话号码。
我将生成一个随机的4位OTP,并尝试
浏览 0提问于2020-09-28得票数 0
我知道如何启用/禁用真实性令牌验证,但我不知道何时启用它是有意义的。
例如,在rails应用程序中,我理解以下内容。如果我搞错了,请告诉我。
网站:
公共页(未登录)应启用真实性令牌验证。
身份验证页面(登录、注册、丢失密码.)应该启用真实性令牌验证
私有页(登录)不需要启用真实性令牌验证。
Api:
公共api (未登录,JSON访问)应启用真实性令牌验证
身份验证api (登录、注册、丢失密码.、JSON访问)应启用真实性令牌验证
私有api (登录、JSON访问)不需要启用真实性令牌验证。
浏览 3提问于2014-07-31得票数 1
回答已采纳
1回答
我有一个在我的网站上可以存储项目的管理部分。一旦它们被存储,它们就会显示在前端。我的显示的一部分涉及如下代码:
echo "<p>".$rose['description']."</p>";
是否需要在其中包含htmlspecialchars以在较低级别上保护xss?
浏览 1提问于2012-04-13得票数 0
回答已采纳
我的公司将允许客户将建议发布到我们的网站上。此功能与facebook分享链接非常相似。我们的客户将键入一个网址,我们将抓取网站,检索图像,描述,并保存在我们的数据库中的描述和图像网址供其他客户以后审查他们。
我们没有资源来保存/操作外部图像,除非它是绝对必要的,现在我们想要保存图像url并在加载时渲染它。
该功能已经实现,但我有一些担忧,并希望获得一些专家的帮助,以确保我可以防止任何问题的发生。
场景1客户A,从包含大量高质量图像的网站发布5条建议。我能防止网站在我第一次从网站上渲染和检索这些图像时性能受到影响吗?你知道只要我保留对原始网站的引用,保存本地副本就是非法的吗?此外,我反对热链接,
浏览 2提问于2011-04-18得票数 0
2回答
在浏览器中保存授权令牌
、、、、
我有一个REST,它在用户成功登录时返回一个auth令牌。这个令牌需要在不同的路线上发送以获得授权。我的android应用程序运行得很好。但我想使用这是我的网站,我不知道我应该如何存储在浏览器中的令牌安全。
浏览 0提问于2020-03-26得票数 0
我发现其中一个网站是加载所有购物网站在自己的领域。
例如。www.domain.com有以下链接:www.shop pingsite1.com,www.shop pingsite2.com,www.shop pingsite3.com.如果我们单击this pingsite1.com,它将导致www.domain.com/iframe/shoppingsite1 1,并在此域中加载this pingsite1.com。
如果有人从购物网购买该产品。domain.com是否有可能提供所有用户数据,包括支付凭证。
浏览 0提问于2013-10-07得票数 0
回答已采纳
1回答
我正在开发一个Chrome扩展程序,它集成了一个网站。我的用户可以在这个网站上做行动,当他们登录到它。
我有一个Socket.IO服务器,它向我的Chrome扩展提供命令。命令到达后,扩展将从主机网站调用一个本地函数。然后,拥有具有自己API的经过身份验证的活动会话的主机网站将调用一些更新/插入调用。
我最近意识到一个潜在的安全问题,即如果有人在我的扩展客户端组织上欺骗我的服务器地址,他可以很容易地滥用它来代表我的服务器()发送自己的参数。
有什么聪明的方法可以确保我的客户与真正的服务器而不是冒名顶替者进行交流?
浏览 7提问于2021-05-25得票数 0
回答已采纳
我们有多个客户网站,提供登录通过移动号码OTP选项(新的和注册的用户)。最近,我们遇到一个事件,一个用户在几分钟内收到了100+ OTP,可以多次登录10+不同的网站。尝试在少数不熟悉的网站上也是如此。
这是哪种攻击?那怎么可能呢?
如何理解这些OTP是否用于登录和收集信息?或者只是为了制造网络恐惧?(并不是所有的客户站点都像社交网站一样提供新的设备登录通知)
我们怎样才能防止这种情况发生?(对网站和移动电话没有任何限制,不能保密)
浏览 0提问于2021-03-15得票数 2
几个月前,我为我的公司创建了以下网站:www.mydomain.co.uk。我使用Lightsail / Bitnami创建了它,并且作为这个过程的一部分,我使用'LetEncrypt‘工具创建了一个SSL。我还设置了Cloudflare,它提供SSL/TLS加密。网站运行了几个月,昨天它停止工作了--我怀疑这是因为Bitnami SSL证书已经过期了。因此,我将Cloudflare SSL/TLS设置从'Full (Strict)‘设置为'Full’,现在可以正常工作了。 那么我需要续签SSL证书吗?或者它已经过时了,因为我正在使用Cloudflare? 谢谢:-)
浏览 50提问于2021-04-13得票数 0
2回答
我即将推出一个网站(红宝石rails)与技术知识共享。它应在AWS上托管。我正在特别寻找一个清单,为“最佳安全做法”。我想做几件事如下。
安全标头http重定向
想要更多。
浏览 2提问于2022-05-06得票数 0
3回答
今天早上我被攻击了,并在我的网站上注射了一些JS。我正试着找到那个洞并修补它。我的印象是下面的PDO是安全的,有人能证实或否认这一点吗?
//Adding the lead to the local database
$leads = array($firstName, $lastName, $company, $state, $country, $phone, $email, $industry, $uniqueId, $comments );
$qry = $dbh->prepare(
'INSERT
浏览 3提问于2012-07-13得票数 1
回答已采纳
我对spf记录知之甚少。我在谷歌上搜索了一下,发现spf记录被用来防止电子邮件欺骗。但我不太明白这是怎么回事。我想简单地了解以下几点。
如何为我的网站设置spf记录。(指向安全设置spf记录的任何链接都可能有用)
使用-而不是~有显著的区别吗?例如:
两者有什么区别?
TXT @ "v=spf1 a include:_spf.google.com ~all"
和
TXT @ "v=spf1 a include:_spf.google.com -all"
spf记录实际上能防止攻击者欺骗我的邮件服务器吗?
(预先谢谢:)
浏览 0提问于2015-06-14得票数 1
回答已采纳
1回答
我在我的项目中使用了ASP.NET MVC5。我想将记录在数据库中的数据作为HTML页面的一部分来显示。作为数据库中记录的最简单的数据,我有<div>This is a div.</div>
在cshtml文件中
<div>
@Html.DisplayFor(m => m.Description)
</div>
但是数据并不显示为HTML标记。
如何向浏览器解释我的数据必须被解释为HTML标记?
浏览 1提问于2014-10-21得票数 0
回答已采纳
3回答
好的,我有一个简单的servlet,如下所示。
public class SimpleServlet extends HttpServlet {
public void doPost(HttpServletRequest req, HttpServletResponse resp) throws IOException {
resp.setContentType("text/plain");
resp.getWriter().println(req.getParameter("name"));
}
}
假设它在我使用这个URL /sim
浏览 0提问于2013-01-04得票数 5
回答已采纳
1回答
源ip地址可以被欺骗。而且,由于IPv6的存在,仅保留一个被排除在访问网站之外的ip地址的查找表是不够的,因为使用ipv6,现在有足够的ip地址供单个发件人在send服务器上发送探测请求的五分位数。
考虑到这一点,哪些新的方法可以缓解web服务器的IP转发DDOS探测?
是白名单个人注册用户ip地址和____的唯一解决方案吗?
浏览 0提问于2021-03-02得票数 1
1回答
我正在开发一个WordPress主题。为了保证XSS的安全性。在这里,我有两个问题:
如何检测主题是否会受到XSS攻击的影响?还是已经被感染了?
如何防止它感染XSS?
我知道这与WordPress有关,我应该把它放在WordPress上。我已经做了,但还没有解决方案。
浏览 2提问于2015-06-10得票数 2
1回答
我正在工作的应用程序,在某个时候,我需要检索网站的标题给定的网址。下面的代码可以做到这一点
InputStream response = null;
try {
response = new URL(urlString).openStream();
Scanner scanner = new Scanner(response);
String responseBody = scanner.useDelimiter("\\A").next();
浏览 7提问于2017-11-25得票数 0
回答已采纳
一些网站在一系列不正确的密码尝试(例如15分钟)后将用户锁定。如果恶意行为者知道这一点,他们是否可以故意尝试每15分钟使用不正确的密码登录,以防止真实的人登录?这是一个真正的威胁,如果是的话,网站如何才能防范它呢?
浏览 0提问于2017-04-05得票数 70
回答已采纳
实际上,这不是代码问题,而是安全问题。
我收到一封陌生人的电子邮件,里面写着他对我的网站做了些什么。
我不知道他是怎么做的,但有证据表明他可以在burpSuite应用程序点击按钮时获得api和参数
有没有保护网站不受这种检查的影响?
浏览 4提问于2022-05-31得票数 0
我正在调查Authorize.net的新“直接邮寄法”来处理信用卡交易。以前,我的公司一直在使用Auth.net的AIM处理信用卡,而不离开我们的网站。此方法要求我们有一个SSL。
然而,这个新的DPM,Auth.net已经说,客户仍然支付在我们的网站上,但我们不需要一个SSL的安全。这在我看来有点奇怪,但Auth.net就是这么说的。您可以在这里看到图表:。
所以,我的问题是:如果我有一个没有ssl ()托管的页面,那么向SSL ()发布POSTed信息是否安全?
谢谢你的帮助。
浏览 2提问于2011-05-25得票数 3
回答已采纳
我通常被托管公司提供的大量跟踪和量化流量数据和统计数据的工具所淹没。我同样被无数种恶意的“攻击”所淹没,这些恶意攻击针对的是人类所知道的所有网站。
用来保护网站的后端和前端的安全方法都有很好的文档记录,在实现和应用方面都是直接的,但是自治机器人大军不分国界,总是会找到一个网站的利基来入侵。
那么,我们能做些什么来处理那些用蛮力攻击你的领地的不可避免的机器人群呢?每当我查看域的错误日志时,总会有数以千计的条目看起来像机器人,试图通过欺骗url中的变量将sql代码导入数据库,从而向它们提供数据库中的模式信息或私有数据。
我的野蛮和耗时的防御计划,只是监测访客的统计,这些明显的滥用模式,或禁止ips
浏览 0提问于2011-11-30得票数 1
1回答
我在Django网站上发现了以下安全通知:
Django的媒体上传处理带来了一些漏洞,当该媒体以不遵循安全最佳实践的方式服务时。具体来说,如果HTML文件包含有效的PNG头,然后是恶意HTML,则可以将该文件作为图像上载。此文件将通过对Django用于ImageField图像处理(Pillow)的库的验证。当该文件随后显示给用户时,可能会根据web服务器的类型和配置将其显示为HTML。
不幸的是,没有额外的信息,如何保护网站再次恶意PNG,所以我有一些问题:
我应该如何配置我的webserver (nginx)?
我如何生成html作为PNG上传到服务器上,并确保它不会显示为h
浏览 1提问于2019-04-08得票数 2
1回答
目标
通过HTTP请求验证客户端。
验证客户端的WebSocket连接。
防止利用WebSocket连接(当网站上存在XSS漏洞时)。
我是怎么做的
步骤1客户端通过发出常规HTTP请求访问网站。Cookie用于验证客户端和服务器响应的JS snippet +AuthToken(生成和保存在服务器上):
(function() {
var ws = new WebSocket("wss://localhost:1000");
// application logic goes here
})();
步骤2服务器将新创建的WebSocket连接标记为不安全/未知。
浏览 0提问于2021-08-15得票数 0
回答已采纳
这是我的代码:
#include <thread>
#include <chrono>
using namespace std::literals::chrono_literals;
#include <iostream>
void f(int n)
{
for (int cnt = 0; cnt < n; ++cnt) {
std::this_thread::sleep_for(1s);
std::cout << "." << std::flush;
}
浏览 16提问于2019-10-30得票数 7
回答已采纳
当我访问某些网站时,会收到以下错误消息:
Internet阻止此网站显示带有安全证书错误的内容。
IE9给出了“显示内容”的选项,但是当我单击Show Content时,没有什么变化;仍然没有显示一些内容。
我确实检查了网络以找出问题的原因,我发现这个问题是由一个不可信的证书造成的。
如果我将未显示的图像的URL复制到另一个选项卡,然后单击Continue to this website (not recommended),则会显示该图像。
当我回到原来的页面,重新加载后,内容将不会显示。
我正在考虑修复这个问题,安装不受信任的证书,但是如何在IE9 / Windows 7上做到这一点呢?
浏览 0提问于2012-02-11得票数 2
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
