攻击服务器数据库的办法
是指恶意入侵服务器系统,获取或篡改数据库中的数据。这种行为是非法的,严重威胁数据安全和隐私保护。以下是一些常见的攻击服务器数据库的方法:
- SQL注入攻击:攻击者通过在应用程序的输入字段中插入恶意的SQL代码,从而绕过应用程序的验证机制,直接访问和操作数据库。这种攻击方式常见于未对用户输入进行充分验证和过滤的应用程序。
- 未授权访问:攻击者通过暴力破解、密码猜测、利用系统漏洞等手段,获取服务器的管理员权限或数据库的访问权限,从而非法访问和操作数据库。
- 数据库拒绝服务(DDoS)攻击:攻击者通过发送大量的请求或恶意流量,占用服务器资源,导致数据库无法正常响应合法用户的请求,从而使数据库服务不可用。
- 数据库漏洞利用:攻击者利用数据库软件或操作系统的漏洞,获取系统权限或绕过访问控制,进而访问和篡改数据库中的数据。
- 社会工程学攻击:攻击者通过伪装成合法用户或管理员,通过欺骗、诱导、威胁等手段,获取数据库的访问权限或敏感信息。
为了保护服务器数据库的安全,可以采取以下措施:
- 定期更新和修补服务器和数据库软件,及时安装最新的安全补丁,以修复已知的漏洞。
- 使用强密码和多因素身份验证,限制数据库访问权限,并定期更改密码。
- 对用户输入进行严格的验证和过滤,避免SQL注入攻击。
- 配置防火墙和入侵检测系统(IDS/IPS),监控和阻止恶意流量和未授权访问。
- 定期备份数据库,并将备份数据存储在安全的地方,以便在遭受攻击或数据丢失时进行恢复。
- 加密数据库中的敏感数据,确保数据在传输和存储过程中的安全性。
- 建立安全审计机制,记录和监控数据库的访问和操作行为,及时发现异常和安全事件。
腾讯云提供了一系列的云安全产品和服务,用于保护服务器和数据库的安全,包括云防火墙、DDoS防护、安全审计等。具体产品和介绍请参考腾讯云官方网站:https://cloud.tencent.com/product/security
相关·内容
3回答
在这里,XSS攻击被视为来自客户端机器的攻击。但是有没有办法在服务器上进行XSS攻击呢?
我想知道是否有任何方法可以像SQL注入那样使用客户端接口在服务器上执行代码,但这里不是数据库服务器,而是一个简单的Web服务器或应用程序服务器。
浏览 0提问于2013-05-09得票数 1
1回答
我需要在我们系统的数据库中存储用户的银行详细信息。
我正在考虑加密帐号,以防有人访问我们的数据库或备份。
我们正在使用Heroku,我们的数据库运行在一个单独的服务器上的We服务器上。我的想法是将加密密钥作为环境变量存储在web服务器上,这样至少它不会存储在与DB相同的机器上。
这是个好办法吗?还有其他建议吗?
浏览 0提问于2017-07-27得票数 0
回答已采纳
我想使用多个客户端,但我不希望对特定用户使用不同的公钥。因此,我必须在所有客户端之间共享私钥,而我只需要使用一个公钥。所以我想,如果用第一个客户端的aes加密私钥是安全的,第一个客户端用密码生成密钥,然后发送到服务器,服务器将其存储在数据库中。当用户使用另一个客户端时,数据库中的加密私钥被发送到新客户端,并且可以用用户密码解密,这样客户端也只能接收一个公钥的消息。这是个好办法吗?我想不出在多个客户端中使用RSA的另一种方法。
Ps:这是一个安全的聊天系统!
浏览 0提问于2019-07-11得票数 0
1回答
我正在编写一个脚本(PHP+MySQL),它可以让你通过FTP编辑文件。我试图做的是,当用户登录并连接到服务器时,我想记住ftp密码,这样它就可以透明地重新连接到服务器(例如,浏览文件时)。出于安全考虑,我不想在数据库中存储原始密码。我正在考虑根据数据库中的连接id将密码存储在cookie中。但这听起来也不够安全。如何在数据库中存储临时密码条目? 有什么办法解决这个问题吗?
浏览 0提问于2012-06-12得票数 2
1回答
我将在未来几周开始一个新的项目,但我有一些问题,与“设计”的应用程序。
该应用程序将是一个服务器+数据库,与Android应用程序对话,Android应用程序也有自己的数据库(供脱机使用)。
连接将用于交换使用自定义“协议”加密的字符串(封装在TLS中的游戏网络协议)。这意味着该应用程序将具有两层安全性:
TLS ->对抗MitM攻击
针对“游戏中的黑客”的自定义协议->,如游戏数据包篡改
我的问题如下:
在node.js和安卓之间可以使用TLS吗?在这个问题上有什么好的联系吗?
(我了解到,在java和node.js中,证书的格式存在一些问题。它与Op
浏览 2提问于2012-07-03得票数 1
2回答
请原谅我在这个问题上的无知,因为我是一个菜鸟。
如果我发布了一个与mySQL数据库中的web服务器连接的iPhone应用程序,并且该数据库包含敏感信息,是否有人可以读取我的应用程序的objective-C代码并找到我的数据库信息?
更简单地说,有没有办法让人在送货应用程序中查看我的代码?
库尔特
浏览 0提问于2011-02-15得票数 0
回答已采纳
1回答
我正在为我的学校项目创建一个MySQL数据库服务器。我希望允许我的队友使用学校网络远程访问服务器,但我发现,每当他们重新连接到学校网络时,他们的IP地址就会发生变化,手动将所有新的IP地址添加到用户表中是不可取的。我有什么办法可以克服这个问题吗?
浏览 0提问于2016-12-06得票数 0
2回答
我有一个ASP.NET网站,它由GoDaddy托管在共享服务器上。
每周,有人会更改我的数据库中的值,并将广告文本添加到我的项目描述中。有一次,我将密码更改为数据库,它帮助了大约一个月。我的连接字符串存储在web.config文件中。
有什么办法提高我数据库的安全性吗?如果我将连接字符串硬编码在代码中,它会有帮助吗?还有其他更好的方法吗?
浏览 7提问于2015-07-19得票数 2
回答已采纳
我如何拥有一个基本的javascript注册表,它将用户填写的密码发送到一个安全的axis2 web服务(它将密码的加了盐的哈希存储在数据库中)。
Mu的问题是,当用户输入纯文本密码并在服务器端进行哈希处理时,有没有办法在密码发送到服务器之前将其破解。
我如何保护我的javascript客户端,你能推荐一些库吗?
提前谢谢你
浏览 0提问于2013-04-29得票数 2
1回答
我知道当我登录到一个站点时,会执行以下步骤: 1.我的密码是散列2。哈希与数据库中存储的哈希进行比较。3.如果散列相等,我可以登录。
我也非常肯定,如果攻击者能够访问密码数据库,如果哈希算法足够弱,他们可以使用蛮力查找明文密码。
我的问题是,攻击者是否有办法绕过上面的步骤1?也就是说,如果他/她获得了哈希密码列表的访问权限,那么黑客是否可以将该哈希传递给服务器,从而绕过哈希步骤?
浏览 0提问于2014-07-16得票数 0
回答已采纳
背景信息
WebService是用C C#在.NET中开发的
它需要发布到网上。
它需要访问数据库服务器。
webservice是在3层体系结构中开发的。我指的是webservice引用--一个处理所有业务逻辑的DLL项目和另一个处理所有数据库交互的DLL项目。
问题
我的客户有三层架构。因此,查看数据库(APP服务器)的服务器(APP服务器)没有发布到web,而发布到web (WEB服务器)的服务器看不到数据库。
DB服务器-应用服务器
如果我在WebService中发布我的WebService,我将无法从web访问它。
如果我在WebService中发布我的WebSer
浏览 3提问于2014-04-29得票数 0
我有一个android应用程序,用户可以输入他们的用户名和密码来登录应用程序
我也有一个服务器,其中PHP代码负责与服务器上的数据库检查用户名和密码
因此,场景如下:
1-在android应用程序中,用户输入其用户名和密码
2-在android应用程序中,应用程序连接到服务器的PHP文件
3-在服务器端,用户数据与服务器的数据库进行核对
如果允许用户输入用户名和密码,则也允许攻击者
攻击者可以自动重复更改用户名和密码,并连接到服务器的PHP代码
尽管攻击者输入的用户名和密码没有在数据库中注册,在这方面没有问题,但攻击者反复向服务器发出不同的请求,服务器必须响应用户名和密码无效
现在的问题如下:
浏览 2提问于2018-05-07得票数 0
当我分析在数据库中使用AES加密数据时,我读到了一些关于填充甲骨文攻击的东西,并且“害怕”它可能是一个严重的问题。但是,经过进一步的研究,我现在得出结论,在我们的具体情况下,这不应该是任何问题。我想验证这一点,因为我有一种感觉,不完全了解攻击方法。
我有以下情况:
客户端向应用服务器(Java)发送纯文本消息。这些消息应该存储在数据库中,而不是纯文本;它们必须被加密(使用静态加密密钥进行同步加密)。我们使用AES-128/CBC/PKCS5Padd,而加密则由应用服务器完成,而应用服务器是唯一知道加密密钥的实例。这意味着服务器不提供外部接口,该接口可用于发送(修改后的)加密数据包。因此,最终用
浏览 0提问于2015-04-21得票数 1
我将机密数据存储在mysql数据库中,该数据库由运行在同一个物理盒上的web服务器提供。如果我将这两个服务器分开(甚至在两者之间设置一个防火墙),那么如果web服务器被破坏了,我是如何使访问mysql数据库更加困难的呢?web应用程序将连接字符串存储在纯文本配置文件中。黑客所要做的就是使用这些凭据连接到数据库服务器,DB服务器无法知道这不是授权客户端。
浏览 0提问于2010-06-26得票数 2
回答已采纳
目前,初始化框架需要将应用程序id发送到解析服务器,如以下示例代码所示:
Parse.initialize(new Parse.Configuration.Builder(this)
.applicationId("YOUR_APP_ID")
.server("http://localhost:1337/parse/")
.build()
);
这是有问题的,因为如果应用程序运行在Android 6或更早版本上,嗅探器可能会读取此应用程序id并使用它来访问应用程序的Parse数据库。
有没有办法以更安全的方式初始化Pa
浏览 0提问于2018-04-24得票数 0
我们有一个托管在共享服务器上的网站。托管公司的MySQL服务器托管在另一台服务器上。
我们通过web表单收集某些类型的请求,并将它们写入数据库。每10分钟,cron运行一个php脚本
查询数据库中的视图(没有用户提供或程序提供的参数),
向我们发送新的请求,以及
将新请求的键写入另一个表,从而有效地从视图中删除这些行。
这是在cron下运行的唯一进程,cron只运行这一个脚本。
所有php数据库访问都是通过PDO进行的。插入使用PDO的bindParam。
一个php文件包含MySQL服务器的连接信息。它存储在web根目录之外,我是所有者,它的权限是单独为我读取/写入的,完全没有其他权限。
昨
浏览 0提问于2012-08-03得票数 4
回答已采纳
2回答
网络应用中的散列胡椒有可能吗?
、、、、
我读过几篇关于正确散列的文章和几个问题。虽然散列、添加盐(特别是胡椒)主要是服务器端用例,但我感兴趣的是除了服务器端之外,还可以在基于JavaScript的web应用程序(客户端)中实现这些实践(而不是自己发明安全机制)。
散列
...as之前回答了许多问题,在客户端完全有可能,但对于服务器端来说,不用客户端哈希本身替换散列密码仍然是至关重要的。此外,在服务器受损的情况下,密码受到保护。由于连接不安全而获得密码的攻击者必须使用彩虹表来查找密码,而不是明文。
盐类
...has是唯一的,但不一定比散列密码本身更私有,存储在同一个数据库中。就像客户端salt可能是唯一的用户名一样,但是,如果用户除
浏览 0提问于2019-03-26得票数 1
回答已采纳
1回答
如果您有以下保护措施
XSS保护
SQL注入保护
CSRF保护
服务器端会话(数据库)
反垃圾邮件Captcha (+-有效)
我不知道还有哪些技术威胁有待考虑?
此外,如何帮助防止攻击的最大规格的机器(硬盘空间,最大带宽,最大处理器功率等)
我知道我只能限制一个客户的重复行为,但是如果那个客户正在控制其他客户,那么威胁就会水平地扩大,而我的保护是完全无用的。有办法处理这事吗?
浏览 4提问于2012-03-08得票数 1
回答已采纳
1回答
在对我们的asp.net web应用程序进行安全审查时,据报道,一些输入字段没有限制服务器端用户输入的长度。在执行报告中指出,此漏洞可用于消耗服务器或数据库中的大量资源,从而导致拒绝服务攻击。
我想问一下,这里有什么办法来解决这个问题。当然,我们可以在web服务器端为每个字段实现验证,例如,如果输入较长,则抛出一些异常和拒绝一些预定义的值。但我很好奇是否还有更多的方法来做这件事。可能是web.config中的一些配置,或者IIS级别上的一些配置,一些全局处理程序等等。
浏览 3提问于2014-01-09得票数 1
回答已采纳
我使用的是HTML、JQuery和PHP/MySQL。我理解大多数情况下,如果我想让这个游戏安全,那么服务器需要做几乎所有的事情,但是在某些情况下,游戏必须告诉服务器去做一些事情。在我的示例中,这是一个RPG类型的设置,它有时需要通过Ajax调用向PHP脚本发送POST请求,该调用可以更新、插入或删除数据库。比如一名玩家赢得一场战斗,他的经验需要附加,或者一名玩家在一场战斗中转弯,它需要计算出从另一个敌人身上取出的HP的数量,并归还它,以及更新敌人的HP。
当玩家单击“攻击”并运行一个名为JavaScript的playerMove('attack')函数时,有什么可以阻止用户进
浏览 2提问于2013-12-03得票数 2
回答已采纳
2回答
DMZ中ARP欺骗的防范
、、、、
是否有可能在防火墙中实现防御机制以防止DMZ中的ARP欺骗。我们的DMZ服务器由两个the服务器和一个数据库(应该可以从互联网上获得)组成。
浏览 0提问于2015-03-05得票数 0
如果我想发布一个需要直接与远程数据库交互的软件,我将不得不在软件上设置所有必需的凭据和逻辑,才能从程序本身访问。(不需要用户标识,因为它将是公共应用程序,也不需要中间服务器)
有了这个“野生”软件,或多或少有人就可以破解它,并找到以同样的权限访问DB的过程。
更具体地说,这个应用程序可以是一些简单的免费游戏,为移动设备提供评分,并在远程DB中取得成就。
从安全的角度来看,围绕这一点的合理的总体策略是什么(如果有任何意义的话)。也许这个问题太基本了,我找不到解决的办法)
浏览 0提问于2015-05-20得票数 1
回答已采纳
我的场景是安装在名为WEB的服务器上的MVC Blog (funnelweb)。SQL Server2005在DB上运行。FunnelWeb站点需要访问它自己的数据库。我使用SQL Server Management Studio创建了一个新数据库,并将其命名为FunnelWeb。我想使用SQL身份验证,所以我创建了一个SQL登录FunnelWebAdmin。在登录映射中,我将FunnelWebAdmin映射到FunnelWeb数据库,并授予他对数据库的dbowner权限。我尚未向登录名授予任何服务器角色。
已为服务器启用SQL身份验证。
我的问题是:
我是否需要授予此登录任何服务器角色,以便
浏览 3提问于2011-09-24得票数 0
回答已采纳
1回答
我们刚刚通过将单个web服务器/数据库服务器转换为两层系统,将web服务器放在数据库服务器的前面,从而使我们的web系统更加安全。and服务器有两个网卡,一个用于外部世界,另一个用于内部网络。数据库服务器有一个用于内部网络的网卡。
在过去,我可以使用Navicat的SSH功能连接到单个the服务器/数据库服务器。现在,数据库服务器被隐藏了。
使用命令行,我可以通过ssh连接到webserver,然后通过ssh连接到数据库服务器。但是我很怀念我的图形工具。有没有办法让Navicat连接到数据库服务器?有没有什么我可以设置在网络服务器上,将代理数据库?
浏览 3提问于2011-05-21得票数 0
回答已采纳
例如,您正在攻击使用两个不同服务器的应用程序:应用服务器和数据库服务器。您发现了一个漏洞,该漏洞允许您在应用服务器上执行任意操作系统命令。如何利用此漏洞检索数据库中保存的敏感应用程序数据?
我的看法是,如果我可以执行任意OS命令,那么我将尝试从配置文件中查找数据库凭据,然后登录。(间接回答为否)。
浏览 0提问于2018-08-22得票数 0
回答已采纳
2回答
我目前正在使用服务器1管理来自用户的传入流量,服务器2管理来自服务器2的数据库请求。这两个服务器都可以通过Internet访问。IP白名单是否是一种足够的保护措施,以防止服务器2上除从运行在服务器1上的应用程序传入之外的任何流量?
如果没有,风险是什么?
浏览 0提问于2014-02-15得票数 4
我处在一个棘手的情况下,我正在编写一个应用程序,使用我公司的电子邮件帐户向客户发送电子邮件。这里的问题是,我必须拥有该帐户的密码,才能使服务器上的邮件服务从该帐户发送电子邮件。我知道密码永远不应该以纯文本形式存储,特别是用于重要电子邮件帐户的密码。这里的两难境地是,程序需要有实际的纯文本密码来发送电子邮件,所以它需要存储在程序可以访问的地方。该程序使用MySQL数据库存储信息,因此在我的脑海中有三种选择:
1)将密码存储在程序的内存中,即私有的最终字符串字段。
2)服务器上的文件,可从中读取密码
3)在MySQL数据库中的某处。
我认为1是最安全的选择,但是有没有人有办法处理这种情况,以最大限
浏览 1提问于2012-04-13得票数 3
回答已采纳
1回答
这个问题的概要:
有时由于数据库服务器出现问题,SCOM无法访问其DB,因此监视停止。这会导致没有发送警报消息。
有什么办法让我在SCOM监控停止时发出警报吗?用来抛出邮件或其他方法的powershell脚本?
我不能安装比基本windows服务器安装中已经存在的任何额外的应用程序/工具。
浏览 0提问于2014-05-12得票数 0
1回答
我拥有一个用Java编写的RPG多人游戏,玩家可以在游戏中相互战斗。
最近我计划发明一个新的功能,在那里你的最后15秒的战斗和“淘汰赛”将被保存,一个gif将创建战斗的结束和自动上传,可以链接到您的帐户和观看游戏的网站库。
我计划采用的战略是:
服务器向客户端发送开始记录数据包,以开始记录图形缓冲区。
客户端将清除缓冲区,只保留当前战斗的最新15秒(X帧)。
当战斗结束时,服务器发送停止记录数据包,此数据包将包含由服务器生成的预先签名的URL,客户端将在其中使用该URL上载客户端将在此步骤中创建的gif。预先签名的URL将对用户的ID进行编码,以便将其链接起来,并且将在数据库中以及在预签名或上
浏览 0提问于2020-03-04得票数 1
回答已采纳
我有反向工程的经验,人们在android中安静流利地访问您的数据库。我想知道有没有什么办法,我可以加密我的数据库只(不模糊整个apk)在创建的时候,然后在RunTime期间,我会使用我的数据库。
我在数据库方面的知识较少,因此任何建议都将是一个恩惠,以保护我的资产文件夹中的数据库。
浏览 0提问于2012-03-05得票数 2
回答已采纳
1回答
我需要添加CSRF保护到web应用程序。
问题在于应用程序在很大程度上依赖于链接(GET请求)来对数据库进行更改。
链接是使用类生成的,因此我可以很容易地为每个链接添加一个额外的CSRF令牌参数。
但是,我理解GET请求中的CSRF令牌可能不是一个足够好的保护。
请注意,应用程序只能在HTTPS上使用,因此在客户机/服务器通信期间不能公开/窃取GET params (但是历史窃取问题仍然存在)。
在这种情况下,是否可以将CSRF令牌参数视为“足够安全”?
如果没有,解决这个问题的最好办法是什么?我脑海中唯一想到的就是将每个链接封装成一个表单(以太显式地,或者使用JavaScript创建表单Ja
浏览 2提问于2012-09-11得票数 4
我在我的项目中有一个选项页,因为我可以更改我的密码。我有一个表单,它要求您输入当前密码、新密码和确认密码。我检查所有数据是否有错误,并使用jQuery ajax将其发送到服务器。
唯一的问题是,我需要检查我的当前密码和存储在数据库中的密码。
数据库密码使用PHP SHA1($database_password.$salt);进行散列。
我想以某种方式将PHP变量$database_password和$salt传递给Javascript,然后使用sha1() js alternative 查看我的当前密码是否与数据库密码匹配。
有人能给我指点吗?或者有没有别的办法?
浏览 6提问于2011-04-30得票数 0
回答已采纳
1回答
这主要是一个客户/服务器通信的思想实验,我想知道其中的缺陷。
当创建用户帐户(以U为用户名,P为密码)时,我生成一个随机盐(S),并将这些值存储在数据库中(服务器端):U、S和H,计算为H = hash(U+S+P)。
对用户进行身份验证时:
客户端首先通过向服务器发送U来“尝试身份验证”。
服务器为该用户创建一个挑战代码(R),并将其存储在数据库中,并将此挑战过期(T)并将R和S发送回客户端。
客户端计算自己版本的H (通过散列U、S和P;它有U和P,并从服务器接收S )。
然后,客户端将一个新的值G计算为G = hash(H+R),并将这个G发送回服务器(实际的“身份验证请求”)。
服务器
浏览 0提问于2015-05-25得票数 1
回答已采纳
2回答
我有一个公司和他们的客户的数据库。数据库需要能够回答‘哪些公司的客户住在地址X?’的问题,这通常是非常简单的实现。
我想要避免的是攻击者可以找到所有的公司和客户关系。该数据库将驻留在一个the服务器上,对它的查询将被限制,以避免所有数据的蛮力下载。
但是,如果服务器受到破坏,攻击者可以访问整个数据库,甚至可能访问存储在服务器上的任何私钥,怎么办?如果攻击者能够找到公司列表或客户列表,这是可以的,但他不应该能够知道哪些公司与哪个客户端相关,最好是无法检索每个客户端的地址。
客户的身份是根据他们的地址,而不是任何一种独特的身份。在我的国家只有大约五百万个不同的地址。我想使用安全哈希来保护地址,但是
浏览 2提问于2011-04-23得票数 4
回答已采纳
4回答
我在研究一个认证系统。现在,在这个系统中,用户登录并向服务器发送散列密码。这足够了吗?还是我必须重新破解密码?
所以基本上这个密码是=>散列=>网络=>散列=>数据库
那么密码=>哈希=>网络=>数据库更安全吗?或者哈希已经散列的密码是浪费时间和空间?
还是应该是密码=>网络=>哈希=>数据库?
作为一种额外的好处,未来可能的扩展是让用户登录到远程服务器上,在远程服务器上必须保存和使用信用,以便将来与服务器进行交互,从而产生这样的结果?
密码=>网络=> database1= >网络=> database2
这
浏览 0提问于2015-08-11得票数 2
2回答
我们在决定应该在哪里找到不同的服务器。我们应该把他们放进非军事区吗?在我们信任的网络区域?等等..。关于这个主题已经写了很多文章,但是对于是否允许从DMZ访问内部网络上的数据库服务器,似乎有不同的看法。我希望你对我们的想法有意见。
基本上,在为客户服务时,我们有以下的服务器和服务:
📷
“应用程序服务(WCF)”基本上是我们进入数据库的入口点,它保存了所有的业务逻辑,并在将其提交到数据库之前验证一切正常。这里还有一个只读服务,为查询数据库进行了优化。
引入DMZ,我们应该把服务器放在哪里?web服务器和外部服务显然进入受防火墙保护的DMZ,只允许必要的端口。但是应用程序服务和数据库服务器呢?我
浏览 0提问于2013-06-26得票数 0
回答已采纳
2回答
我有一个应用程序(iOS),它向服务器发送post请求,在那里对数据进行检查和存储。基本上,我发送的是用户I、纬度和经度值。在我的服务器上,有一个简单的php脚本,它执行一些基本的检查,并将数据保存到数据库中。
这意味着,如果我用我的手机使用无线网络,而有人在进行数据包嗅探,他就可以重用或更改这些值,并将错误的数据塞满我的服务器。有什么好办法来避免这种情况吗?我不太喜欢这些安全问题,就我的目的而言,使用SSL似乎有点过分。我正在考虑某种额外的post值,我将在服务器上验证它,然后决定请求是否有效,但我找不到任何简单的方法来完成类似的任务。
对此有什么想法吗?
提前感谢
浏览 6提问于2014-07-28得票数 1
回答已采纳
1回答
嗨,我有一个关于MD5 Hash / Salting的问题。
最近我读了很多关于散列和盐渍的文章,我明白我应该对每个密码使用不同的salt,并且我不应该使用类似用户名的东西,因为理想情况下,salt应该是完全唯一的。但我不明白的是,为什么建议将该盐类与密码一起存储在数据库中呢?
如果攻击者得到哈希和盐,这不是很糟糕吗?我知道这对攻击者来说更难,因为唯一的盐类确保了他不能检查一个计算出来的散列和所有密码。不过,把盐的一部分藏起来不是更好吗?
我想把盐分成两部分。第一部分像往常一样存储在数据库中,第二个(较小的)部分在我的应用程序中被硬编码。攻击者几乎不可能获得完整的盐,因为他必须同时渗透应用服务
浏览 3提问于2012-03-07得票数 5
回答已采纳
我想通过tab cmd命令发布tableau报告,并且能够成功实现,我关心的一个问题是“通过tabcmd命令将twbx文件连接到数据源”。
以下是我曾经使用过的命令:
登录tableau服务器:
tabcmd.exe login --server http://serverName --user "userName" --password "password" --site ""
将Tableau报告发布到Tableau服务器:
publish -c "E:\Tableau\ActualReportName.twbx" -n &#
浏览 2提问于2014-04-24得票数 3
我想在登录屏幕中添加两个因素的身份验证。我对这一进程的理解如下:
生成QR码
使用Google身份验证应用程序扫描此代码
使用库检查Google身份验证程序代码是否与用户输入的代码匹配。
我想使用PHP进行身份验证。我有点不确定什么是生成QR代码的最佳代码。由于它应该是唯一的,所以我想到了用户数据库中的散列密码。因为如果攻击者能够访问服务器,则可能无法保护qr代码生成。还是有办法保护钥匙?
随机字符串将无法工作,因为它每次都会更改,用户每次都需要扫描代码。
创建相对安全的双因素身份验证的正确方法是什么?生成qr代码的公共密钥是什么?qr代码的密钥应该存储在哪里?使用PHP的推荐库是什么?
浏览 0提问于2023-02-10得票数 0
我们有一个有MySQL和其他组件的专用服务器
防火墙阻塞MySQL端口,因此无法进入到该端口的连接。
数据库访问只授予本地用户,如'me'@'127.0.0.1‘,以便只有运行在该服务器上的应用程序/服务器才能访问数据库
在这种情况下,没有密码或默认密码比拥有密码更安全吗?
在这种情况下,密码不应该起作用,但是如果我漏掉了什么东西,我想向MySQL和安全专家学习。
谢谢
浏览 8提问于2022-03-07得票数 0
3回答
这里的目标是防止识别用户及其数据。将我的数据库划分为多个数据库,一个用于各种敏感数据,隐藏它们之间的链接是一个好主意吗?
首先,答案似乎是肯定的,因为攻击者需要访问所有数据库(可能来自不同的服务器/VM/容器),以便在数据和用户之间建立关系并识别它们。
当然,这样做增加了应用程序层的复杂性,所以我想知道这是否是一个好主意。
编辑:下面是一个更具体的例子。
这个项目是一个网站。应用程序代码运行在服务器A上。连接从应用程序到数据库db1、db2和db3,分别在主机B、C和D上完成。没有加密(当然密码除外)。应用程序代码保存所有三个数据库的凭据。因此,我有一个“安全瓶颈”,它是服务器A。此外,数据之
浏览 0提问于2018-06-15得票数 2
回答已采纳
如果web应用程序和数据库位于同一服务器上,加密数据库数据的安全好处是什么?显然,密码应该以任何一种方式进行散列。
我假设,如果攻击者能够注入一些SQL或服务器代码,他将能够查看数据库数据。有人能更准确地勾勒出安全的影响吗?
编辑:为了澄清,我说的是数据加密。加密方法不是确定性的所以enc(data1) != enc(data1)
浏览 0提问于2015-02-06得票数 1
回答已采纳
我是一名大学生,我现在才达到我的学位的一部分,我们的重点是安全。在如何保护我们的数据库和用户细节方面,我们的任务非常广泛。它只说“你需要以散列的形式存储用户的密码。”
现在我想知道是否应该执行散列客户端(JS),然后将散列数据发送到要存储在数据库中的服务器,还是在存储之前以纯文本的形式向服务器发送密码,并对数据服务器端(PHP)进行散列。对于这两种情况,我都使用HTTP请求。(我的印象是,如果使用POST请求,用户/攻击者无法访问发送到服务器的参数。是这样吗?)
另外,在我的情况下,什么是好的散列算法?
浏览 0提问于2018-05-06得票数 -1
回答已采纳
2回答
在数据库中使用SSL证书
、、、
我在探索SSL证书及其优点。在那里我遇到了使用SSL证书进行数据库连接的问题。我搞不懂为什么我们需要安全的数据库连接。因为如果在客户端和服务器之间建立了安全连接,那么服务器无论如何都是要连接和从数据库获取的。有人能帮助我理解为什么我们需要与数据库的安全连接吗?提前谢谢。
浏览 1提问于2012-12-24得票数 0
回答已采纳
最简单的形式是,我们的(不久的将来)项目由一个终端用户程序组成,该程序直接连接到数据库和apis。
这显然是不好的,因为最终用户程序包含敏感数据,如用户名和密码。
我怎样才能正确地避免这种情况?
在web上搜索似乎指向远程方法调用,其中我将所有敏感数据放入位于web服务器上的程序中,最终用户程序只需从服务器程序调用这些方法。这条路是对的还是有更好的办法?
浏览 0提问于2017-02-09得票数 0
回答已采纳
2回答
数据库保护:外部和内部
、、、
我的公司正在使用一个奇怪的数据库设置,我不知道它在安全性方面增加了什么。
我们的设置
外部世界防火墙 DMZ - Web 防火墙外部数据库防火墙内部数据库
web服务器只能与外部数据库通信。
无法从外部访问外部数据库。例如,即使我知道地址并且有有效的用户名/密码,我也不能从家里访问它。
内部数据库也不能从外部访问。
因此,外部数据库与内部数据库的唯一区别是web服务器可以访问外部数据库,而不能访问内部数据库。
我们的数据流
当用户在我们的网站上输入一些信息时,该信息将被发送到我们的When服务器。然后,The服务器将该信息插入外部数据库。然后,作业将定期运行,并将外部数据库上的新数据插入到内部
浏览 0提问于2016-01-29得票数 3
2回答
我们有一个应用程序,它有很多用于提交数据的表单。表单大量使用AJAX和JSON将信息发布到数据库。我担心恶意用户可能试图通过传递JSON结构化数据来调用我们的Ajax接口的事件。php脚本无法区分是我们自己的服务器调用它,还是来自外部的调用。从理论上讲,恶意用户可以在我们的数据库中写入内容,而不需要通过我们的网站。这是一个合理的担忧吗?如果是,有没有办法解决这个问题?
浏览 2提问于2013-06-08得票数 3
我的问题可能很宽泛。假设我们试图将客户端的信息数据存储在服务器上的数据库中。服务器可能会有漏洞,并授予黑客访问系统管理员用户的权限。此外,黑客还可以重置管理员密码。目前,Oracle、Server、MySQL等数据库很多。例如,在SQLite和SQLcipher中,如果您访问数据库数据文件,就无法在没有数据库密码的情况下轻松地解密它。另一方面,在Server中,如果复制所有数据库文件(*.mdf),则可以在不了解数据库用户和密码的情况下访问其他系统中的所有数据。我的问题是,在没有db用户信息的情况下,管理用户无法轻松地恢复哪些数据库。
浏览 0提问于2018-12-25得票数 0
回答已采纳
我们致力于一个新的网站,我们希望使用SRP协议。因此,salt和验证器被发送到服务器,从理论上讲,服务器将它们存储在数据库中。如果DB被泄露,攻击者肯定会强行输入用户密码,并使用验证器/salt进行检查(即使使用良好的KDF (如Argon2) )。我们想防止这一点,请问有推荐的解决办法吗?
我目前的解决方案:
在RESTful服务启动时,手动输入主密码,然后多次使用Argon2对其进行散列(XOR每个密码的字节以获得最多255的数字)。此主密码散列用于在将敏感信息存储在DB (salt,SRP验证器)之前,使用AES-GCM加密任何敏感信息。
使用这种方法,如果DB被泄露,即使使用源代码或硬
浏览 0提问于2017-10-29得票数 1
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
