好的,我使用的是AWS,使用的是无服务器的体系结构,因为AWS将以微服务的形式运行函数,我不需要处理服务器。
不仅如此,它还具有自动可伸缩性,而且收费采用这种“随付即付”的格式。考虑到安全性和可能的攻击,我可以想象出一种攻击,它不一定是DDoS,但攻击者只会从我的服务器上反复请求来自多个客户端的数据(因此不会触发API的速率限制),这样我的成本就会急剧增加(因为“按你付酬”+“我理解“成本攻击”一词可能还不存在,但随着服务转移到无<e
浏览 0提问于2018-04-14得票数 35
回答已采纳
春天的文件说的不多,只是默认的强度是10。如何确定何时使用增加的强度可能是合理的,以及权衡是什么?
浏览 0提问于2017-10-13得票数 2
回答已采纳
1回答
我问过对社保号码的哈希进行前映像攻击的成本。我得到的是,社会安全号码的类型只有366000000个哈希值,这将使运行前映像攻击变得容易。
我现在的问题是,是否有可能完全避免前映像攻击。我的场景是,多个客户端需要将社会保险号存储在一个中央服务器上。客户端之间的哈希必须一致。客户端可以与在线web服务进行通信。
浏览 0提问于2010-11-29得票数 2
回答已采纳
5回答
我理解这个建议的原因:时间戳可以用来计算服务器的正常运行时间,这对攻击者很有帮助(在的标题"TCP timestamp“下有很好的解释)。
然而,据我所知,TCP时间戳旨在增强TCP性能。当然,在成本/收益分析中,性能下降是一个很大的成本,可能太大了。我很难理解,如果有的话,性能成本可能是多少。hivemind中有节点可以提供帮助吗?
浏览 4提问于2011-10-25得票数 46
回答已采纳
我确信,四轮河豚很容易受到二阶差异攻击,但在大多数情况下,使用散列过程的服务器可能会有更大的成本。14轮可以区别于伪随机排列,所以这也被排除在外。
16是可能的最高成本吗?
浏览 2提问于2015-03-18得票数 1
回答已采纳
2回答
在安全远程密码协议中,验证器必须存储在服务器上。在服务器受到破坏的情况下,攻击者可以获得这些验证器。如果没有人重复使用密码,这就没什么大不了的了(因为用户的数据可能也被泄露了)。但是,由于人们确实重复使用密码,因此使对密码文件的脱机攻击变得困难似乎是一个好主意。
SRP基于加密散列H;离线攻击的部分成本将是计算H,因此在此步骤中使用昂贵的散列似乎不错。
浏览 0提问于2012-07-31得票数 8
回答已采纳
tl;睡眠()花费了我的服务器资源。使用它来延迟对攻击者的响应可能会花费他/她的时间,但允许DOS。能让他/她等着而不用花我的钱吗?Long首先,在愤怒中,我想我会很聪明,只是不回答请求,让攻击者“永远等待”,因此我想我会使用睡眠(30)。然后,我发现这为攻击者打开了一扇门(特别是当使用超过一个IP的DDos )来驱动我的服务器负载通过屋顶,因为每个“悬空”(即睡眠)脚本都会
浏览 0提问于2014-03-10得票数 6
1回答
(我们需要减少成本攻击)
、、、
我们担心代价DoS攻击(故意从亚马逊下载文件多次,以便我们支付一大笔费用给亚马逊)。
我们现在没有足够的钱来使用AWS盾高级。问: S3不是直接服务于CloudFront,而是通过CloudFront来帮助减少可能的成本攻击吗?对成本攻击有多大帮助(如果有的话)?
浏览 0提问于2018-05-19得票数 1
客户端哈希密码bcrypt(username.static_salt.password)(成本为7)另一种是使用srp6a,除非对H()使用bcrypt(与上面的成本相同)。从长远来看,这些攻击中的哪一个在
浏览 0提问于2012-09-10得票数 4
回答已采纳
例如,攻击者是否可以将随机值反复提供给服务器(所有这些都将失败)并增加巨大的验证成本?
如果他们提交同样合法但旧的有效载荷呢?
浏览 8提问于2022-03-14得票数 1
回答已采纳
我通常希望限制文件的上传大小,但如果文件太大,我不希望请求到达web服务器。我假设我的想法是正确的,因为早些时候拒绝请求可以更好地防御DoS攻击,通常会减少web服务器的负载(从而降低成本)。
浏览 63提问于2020-10-07得票数 2
回答已采纳
我怎样才能从一个有很多关注者的Twitter账户中获得关注者列表呢?我的代码的目的是从用户那里获得关注者,然后关注他们,但我可以通过我的代码获得和关注的最大值是200,然后在200之后,它获得了新用户,但速度要慢得多。有没有办法获得更多的几千人?from time import sleep
consumer_secret = ''access_secret = ''
auth = tweepy.OAuthHandler(cons
浏览 5提问于2019-05-29得票数 1
1回答
我正在构建一个使用密码加密/解密文本的网站。我将密码的bcrypt散列存储在数据库中,并在解密之前检查密码是否正确。在本地存储密码散列之前,我应该考虑哪些安全因素?
浏览 11提问于2022-09-01得票数 0
回答已采纳
我的ISP以额外的成本提供“网络保护”服务。他们说它“识别并阻止隐私攻击、信用卡诈骗、身份盗窃和黑客攻击与你的家庭网络相连的电脑”,但没有说明他们是如何做到的。是否有我可以做的测试,以确定他们的网络保护是否值得额外的成本,或者也许我应该寻找其他地方的网络保护?
浏览 0提问于2019-08-26得票数 1
我知道服务器发送的证书是不能伪造的(仍然存在MD5冲突,但成本很高),但是伪造客户端呢?中间人攻击:难道我们不能告诉服务器我们是合法的客户端,并从该服务器获取数据,对其进行操作,然后使用合法的客户端公钥对其进行再次加密吗?客户端如何确保数据确实来自服务器?理论上..我们可以在服务器发送给客户端的响应中注入任何数据吗?
浏览 2提问于2011-02-26得票数 2
回答已采纳
2回答
向服务器验证客户端的身份
、、、
我有一个小设备,其中包含一个客户端程序,通过互联网与服务器通信。非常标准的东西。我在质疑这是否可能。我当然可以将客户端证书加载到客户端,但攻击者可以获得该证书并亲自使用它。该设备的成本必须保持在较低水平,因此没有花哨的硬件花招。你知道我该怎么做吗?
浏览 3提问于2014-02-18得票数 2
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
