我想验证这一点,因为我有一种感觉,不完全了解攻击方法。客户端向应用服务器(Java)发送纯文本消息。这些消息应该存储在数据库中,而不是纯文本;它们必须被加密(使用静态加密密钥进行同步加密)。我们使用AES-128/CBC/PKCS5Padd,而加密则由应用服务器完成,而应用服务器是唯一知道加密密钥的实例。这意味着服务器不提供外部接口,该接口可用于发送(修改后的)加密数据包。唯一的攻击方案是对加密进行内部黑客攻击,比如访问数据库的人(
浏览 0提问于2015-04-21得票数 1
作为解决方案的一部分,我们希望在每个客户站点部署一个FCM“应用服务器”。每个客户网站都有自己的用户,他们自己的设备使用我们的应用程序。但是,我们希望确保如果其中一个客户站点被破坏,攻击者就不能滥用FCM“应用服务器”(例如,通过向所有客户站点的所有设备发送通知)。这样,如果一个客户站点被破坏,我们可以禁用该服务器密钥并停止发送任何FCM通知。
问题:我们能确定攻击者不能向所有设备发送全局通知吗?假设攻击者拥有服务器密钥并访问一个客户站点"app- serve
浏览 4提问于2017-04-20得票数 3
回答已采纳
2回答
当前的基础结构包含位于Amazon中的两个服务器:应用服务器和EC2服务器。理想情况下,我们希望两个服务器使用内部IP进行通信。出于性能原因,我们不希望在SSL上实现通信。中间人的攻击是可能的,因为通信发生在使用弹性IP的网络上吗?除了自定义脚本之外,除了处理内部IP的更改之外,还有其
浏览 0提问于2014-08-06得票数 2
回答已采纳
基本上,我想知道是否有可能在以下场景中实现Akamai : 1.正常运行的请求通过akamai,只有静态资产(如css和js )被缓存,其他所有内容都直接从服务器提供服务。2.检测到DDOS攻击:不确定这是否可能,但我们的想法是akamai是否有功能或api调用来检查是否已启动大规模ddos攻击,如果是,它不会将请求传递到应用服务器,而是恢复到站点的完全缓存版本,直到攻击结束锦上添花的是,如果我们可以设置恢复到什么攻击级别的阈值,可能是基于超过预期流量级别的百分比?
感谢任何形式的指导。
浏览 1提问于2017-03-21得票数 0
1回答
由于JBoss是一种中间件-应用服务器-我想知道是否仍然有可能面对文件包含攻击。(?)我之所以如此徘徊,是因为在这种情况下,不会直接将请求发送到任何存储或DataBase服务器,因为JBoss将在通信过程中检查有效性等等,因此我认为使用应用服务器可能已经阻止了RFI/LFI。如果可能,如何防止文件包含攻击?-不包括确保PHP对恶意代码有足够的免疫力。应用服务器: JBoss
浏览 0提问于2017-01-14得票数 0
回答已采纳
4回答
假设Network /IDS可以检测到漏洞,但是应用服务器本身仍然容易受到该漏洞的攻击。
如果我修改了利用的代码,是否还有IPS/IDS仍然会检测到这种攻击?
浏览 0提问于2012-07-23得票数 2
回答已采纳
但是,/api/...路径被代理到应用服务器,不应该被DoS攻击击中。如何将Nginx配置为只限制API的速率?
浏览 0提问于2019-02-08得票数 0
回答已采纳
我已经从理论上理解了填充甲骨文攻击的工作原理。现在,我试着把它想象成一个真实的场景。
有谁能给出一个真实的场景,攻击者可以将自己插入信道并发送密码文本,并能够接收到显示加密成功或失败的错误消息吗?
浏览 0提问于2016-08-28得票数 2
我正在阅读RFC 8291,它描述了保护应用服务器和用户代理(通常是移动浏览器或其他移动应用程序)之间发送的web推送消息的协议,该协议使用不受信任的“推送服务”(如APNS或FCM)作为中介。这些制约因素似乎如下:在初始设置之后,应用服务器需要能够异步地向用户代理发送消息,从而实现机密性和完整性。要发送消息,应用服务器:使用HKDF将此临时共享秘密与长
浏览 0提问于2021-04-12得票数 1
换句话说,如果上游应用服务器尚未响应之前的请求,那么Nginx应该有444或429个请求。机器人,蛮力攻击等),上游应用服务器可能会选择故意持有处罚请求,例如。10秒或10分钟--但是如果Nginx仍然允许用户并行地提出请求,那么代价就是一堵墙,攻击者可以四处走动。
浏览 4提问于2017-11-24得票数 0
回答已采纳
我理解Oauth代码流,它涉及移动应用程序、应用服务器、auth服务器、资源服务器。应用服务器使用客户端和机密向auth服务器注册。其想法是,移动应用程序调用应用服务器的端点,该端点触发代码流,最终导致使用auth代码从auth服务器回调到应用服务器。应用服务器向auth服务器提供秘密和代码,以获取访问令牌。如果攻击者正在窥探,这将防止访问代码从url中泄露,因为如果没有初始哈希,那么auth代码是无用的。
然而,如何处理移动电话被黑客入侵和攻击者记录秘密和代码的情况,
浏览 7提问于2022-02-06得票数 1
回答已采纳
在反向代理之后,我可以从Web访问一个应用服务器。它的数据库被保护在一个单独的VLAN上,并且数据库管理密码很强。
假设应用程序或操作系统存在漏洞,攻击者执行攻击并获得应用程序权限。
浏览 0提问于2022-08-26得票数 0
回答已采纳
我认为这显然是一个攻击信号,但我只想确认一下。
什么是“类似IPv4 4-地址本身”的意思?由于这只是RDS数据库服务器,为什么服务器需要解析DNS?
浏览 4提问于2014-05-04得票数 2
回答已采纳
2回答
许多应用服务器提供了会话的概念。问题是:指出最佳实践和可能对会话管理的威胁/攻击是非常值得赞赏的。也就是说,我们能否编写一个完全“与会话无关”的应用程序,并将其放在一个环境中(通过适当使用
浏览 0提问于2012-07-25得票数 1
WCF服务器外部网站调用应用服务器上的WCF服务。这些WCF服务调用完全未经身份验证,但对数据库服务器执行非常关键的数据更新。我假设(如果我错了的话纠正我的话),危及443服务器将需要来自外部世界的443或80端口的攻击,因此需要IIS攻击才能破坏服务器。在处理关键数据时,这种配置有多糟糕?如果WCF服务器被破坏,是否可以采取任何措施来减轻其影响,并在大多数情况下防止任意调用WCF服务?
是否有历史IIS漏洞的“典型”影响列表?
浏览 0提问于2009-12-29得票数 0
回答已采纳
目前,我的客户端支持TLSv1.0,应用服务器支持SSLV3、TLSV1.1和TLSv1.2,但是TLSv1.0由于易受猛兽攻击而被禁用。所以我想通过SSLv3连接应用服务器,而不是TLSV1.0。
我能用Java客户端实现同样的目标吗?
浏览 0提问于2014-01-09得票数 2
2回答
为了检查应用服务器中的漏洞,我们运行了Qualys扫描。从报告中我们发现我们的应用服务器很容易受到HTTP Post的缓慢攻击。为了减轻这种攻击,我们已经根据Qualys ()在应用服务器前面配置了nginx。根据Qualys的说法,如果服务器保持连接打开超过120秒钟,他们认为服务器很容易受到HTTP的缓慢攻击。尽管nginx的默认超时时间是60,但它在我们的应用服务器上保持连接超过2分钟。我们还检查了nginx连接状态,它将连接保持在写入状态超过2分钟。
请帮助我们
浏览 8提问于2018-04-26得票数 2
他们是被送到每个碎片,还是只停留在第一个碎片?
我认为这可能是一个潜在的瓶颈,如果一个拥有多个应用服务器的重切分系统中的所有进程都在攻击一台服务器。
浏览 1提问于2013-08-28得票数 9
回答已采纳
例如,您正在攻击使用两个不同服务器的应用程序:应用服务器和数据库服务器。您发现了一个漏洞,该漏洞允许您在应用服务器上执行任意操作系统命令。如何利用此漏洞检索数据库中保存的敏感应用程序数据?
浏览 0提问于2018-08-22得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
