2回答
假设有客户机-服务器机器。
在客户端机器上,我们生成了一个Server,并在服务器机器上存储了相同的密钥。
这意味着,当客户端使用SSH连接服务器时,它将不需要密码。
如果客户端机器遭到黑客攻击,那么服务器机器就容易受到所有攻击?
浏览 0提问于2017-07-12得票数 0
1回答
长话短说,一部客户电话被泄露,并被用来进行非法通话。一项调查显示,这款手机的网络用户界面有一个端口转发条目,它受到6位数字密码的“保护”。我们假设这是被破坏的,现在正试图弄清楚他们是如何从那里获得扩展名密码的(它对UI不可用,也不包含在您可以从web UI中检索的配置文件备份中)。他们可以通过web做的一件事就是更改注册服务器。
我知道密码从未以明文发送,但我认为挑战/响应身份验证的主要目的是确保客户端是他们所说的用户,以保护服务器。我不知道客户得到了多少保护。因此,我的问题是:如果端点试图对恶意SIP服务器注册,该服务器能否获得SIP凭据?
浏览 0提问于2017-06-08得票数 0
3回答
在这里,XSS攻击被视为来自客户端机器的攻击。但是有没有办法在服务器上进行XSS攻击呢?
我想知道是否有任何方法可以像SQL注入那样使用客户端接口在服务器上执行代码,但这里不是数据库服务器,而是一个简单的Web服务器或应用程序服务器。
浏览 0提问于2013-05-09得票数 1
1回答
假设客户端和服务器正在使用SSL2.0,它支持DES加密套件。另外,假设服务器的RSA密钥是不可分解的。在SSL2.0中,客户端选择主秘密并使用服务器的公钥对其进行加密。如果客户端和服务器同意使用DES的破密文套件。MITM如何利用弱对称密钥(DES)?在我看来,除非服务器的公钥被考虑在内,否则MITM什么也做不了。专家能向我详细说明或澄清吗?
浏览 0提问于2017-01-01得票数 1
回答已采纳
假设我使用我的Yubikey OTP登录到多个服务器,它就会被破坏。我去登录那个受损的服务器,然后输入我的OTP。显然,一旦验证了密码,它就不能被重用,但是谁能说服务器必须验证它呢?恶意软件可以继续复制自己,尝试使用Yubikey、OTP等登录到另一台服务器,这样就可以在更多的服务器中复制自己。这有可能吗,还是我遗漏了什么?
浏览 0提问于2020-12-26得票数 1
3回答
最近我读到了不同的拒绝服务方法。一种突出的方法是SYN洪水。我是一些不太好的论坛的成员,有人在卖一个python脚本,它会使用带有欺骗IP地址的SYN数据包来DoS服务器。
但是,如果将SYN数据包发送到带有伪造IP地址的服务器,目标服务器将将SYN/ACK数据包返回给被欺骗的主机。在这种情况下,被欺骗的主机不会返回一个RST数据包,从而取消75秒的长等待,并最终失败地尝试DoS服务器?
编辑:如果我不使用SYN曲奇呢?
浏览 0提问于2010-05-15得票数 5
回答已采纳
我不太清楚OpenVPN背后的技术,所以我有一个关于OpenVPN安全性的问题:
如果我有client.p12 (PKCS#12)文件,并且这个文件被泄露(带有导出密码)给某个邪恶的人,该怎么办?此外,这个人可以转储我加密的VPN通信量(这是用泄漏的client.p12文件保护的)。
这是否意味着我的流量可以用MITM解密或黑客攻击?
或者这是不可能的,因为服务器密钥没有被破坏,而这个邪恶的人只能在服务器上授权我?
浏览 0提问于2014-07-18得票数 0
回答已采纳
1回答
我研究过并知道同源策略(SOP)是由浏览器处理的基于客户端的策略。服务器负责将列表返回给浏览器,允许来源和浏览器检查它与当前来源,然后决定是否读取响应。也许一些案例浏览器会发送一个预照明请求来检查。但所有这些都是浏览器(客户端)的工作。服务器仍然接收来自不同域的请求并执行它,然后发送响应。而SOP不适用于来自另一个服务器的请求(服务器对服务器的请求),请求来自邮递员...所以我认为使用SOP服务器还是不安全的。
有没有人能多解释一下。谢谢。
浏览 20提问于2018-08-11得票数 1
回答已采纳
3回答
应用程序计费概述中的部分指示在远程服务器上执行“签名验证”,而不是在应用程序中(在Android设备上本地运行):
通过执行签名验证,您可以帮助检测被篡改或被欺骗的响应。您可以在应用程序中执行此签名验证步骤;但是,如果应用程序连接到安全远程服务器,则建议在该服务器上执行签名验证。
但是,如果我在远程服务器上执行签名验证,只期望得到一个yes/no或true/false答案,那么攻击者拦截和修改这难道不是更容易吗?
如果来自远程服务器的答案是另一个签名,那么在设备上本地验证第二个签名比第一个(市场)签名更安全吗?
我遗漏了什么?
Update: @alf正确地指出,如果服务器还负责交付购
浏览 4提问于2012-01-09得票数 5
回答已采纳
1回答
我认识一个服务器带有cPanel/WHM和phpBB 3.0.x的服务器受到了针对phpBB (或其插件)的MySQL注入攻击的攻击。某些信息被泄露了,但我们不知道泄漏的程度。通过检查日志可以确定哪些信息被泄露了吗?谢谢!
浏览 0提问于2015-02-02得票数 1
回答已采纳
2回答
我读过的大多数例子都是从恶意网站开始的。让我说,我正在创建一个没有恶意意图的网站。网站什么时候变得容易被点击攻击?在没有XSS漏洞或我的服务器被破坏的情况下,这种情况会发生吗?如果是这样的话,是怎么做的?
浏览 0提问于2019-03-12得票数 3
回答已采纳
在我的组织(庞大的金融机构)中,有4ns服务器被ns DNS记录定义为我们所有公共网站的权威DNS服务器。但是,我发现那些DNS服务器如果被查询到任何其他域,也会发送响应。
我不知道这种行为是否有安全风险。参考资料也将不胜感激。
浏览 0提问于2018-07-10得票数 1
除了使用DHE实现PFS之外,当服务器的私钥被泄露时,我们希望尽可能少地被公开。那么,RSA在DHE_RSA密码套件中的用途是什么呢?在密钥交换期间,服务器签署了什么?
浏览 0提问于2013-12-01得票数 3
回答已采纳
2回答
同步客户端-服务器操作
、、、
处理服务器和客户端都被检查的事件,比如攻击,通常的方法是什么?有一个冷却时间计时器的攻击,客户是知道的(因此,为了防止垃圾邮件服务器请求和攻击按钮被持有)。
接下来,在权威服务器上有一个冷却定时器。我的问题是,有时对客户端的攻击不会在服务器上执行,因为服务器计时器(serverFrameTime - lastAttackFrameTime > attackCooldown)没有计算到所需的时间,因此这些攻击都是对客户端的“空白”攻击。
有没有一种标准的方法来处理这个问题而不发送太多的消息呢?这对我来说是个问题,因为我可能会触发更多的那些事件和更多的计时器,所以不点击自动攻击对我来说不是一
浏览 0提问于2016-02-11得票数 5
我正在做一个网络游戏,在客户端,我用服务器发送的外推位置插值客户端的位置。客户端有自己的物理模拟,由服务器分步骤进行校正。问题是,当它滞后,我‘踢’球,服务器收到一个延迟的消息,并发送给我的位置向后的客户位置,使球来回。我想忽略这些,也许在服务器上对此进行补偿,但不确定。问题是,在这些情况下,时钟的差异是0.07ms或0.10ms,我想忽略这个信息不是很高。
当我得到服务器位置时,我用时钟间隔* serverBallVelocity推断
我能检查一下我的新球服务器位置是否在我的实际球矢量位置后面吗?我试图使用点乘积后,标准化两个向量,以检查他们是否是相对的,但它没有正常工作。
对此有什么建议吗
浏览 0提问于2011-10-25得票数 2
1回答
当然,在使用客户端密码扩展(加上服务器上的一个散列)时,服务器需要在身份验证之前发送salt。
虽然盐被认为不是真正的“秘密”,但公开的盐是否是拒绝这种方法(即客户端密码扩展)的一个严肃考虑?
这个答案 (有600多张选票)表示,保密是很重要的。我知道很难衡量某件事有多重要,但如果你能给我一些想法,那将是有帮助的。客户端这样做的原因是为了减少DDOS攻击。
浏览 0提问于2018-07-10得票数 0
回答已采纳
1回答
我有一个桌面应用程序,需要与远程服务器安全地通信。
所有数据都必须加密。
这也意味着数据不能被第三方更改。
没有人应该能够重新发送相同的数据两次(重放攻击)
列表项目
服务器是使用restful设置的,因此桌面客户端将进行https调用(get、post、push和delete)。
我知道SSL证书是不够的。有些工具,如,将退出证书并显示攻击者纯文本。
我的问题不是一般的加密的。我想知道在现实世界中,提供完美的前向保密最常用的做法是什么?!
如果服务器是用python编写的,而客户机是用java编写的,那么我可以查看教程或库吗?
浏览 3提问于2014-03-10得票数 1
回答已采纳
一个月前,我在ubunutu服务器上建立了DKIM、SPF和DMRAC。一切似乎都很顺利,直到我收到了一份令人好奇的DMARC报告。一台rouge服务器设法发送了一封电子邮件,该邮件通过了google的DKIM验证。
怎么会发生这种事?这有可能是使用未更改的消息重播“攻击”吗?
<record>
<row>
<source_ip>RougeIP</source_ip>
<count>1</count>
<policy_evaluated>
<disposition&
浏览 0提问于2016-04-19得票数 0
回答已采纳
我正在研究ddos攻击以获得更好的理解。我从这个社区读了很多书,但是有一件事我无法理解,那就是丢包。
因此,假设我已经识别了一个攻击签名,并希望丢弃这些数据包。
攻击者-------------跳----------跳-------跳------我的服务器
在那个阶段,如果包是由我配置的,那么丢包,而不是意外的丢包。
如果它们被丢弃在我的服务器上,这有什么帮助,因为数据包已经到达,因此占用了带宽。还是说丢包只是一种避免发送应答的技术,因此攻击者必须等待超时?
浏览 0提问于2015-07-24得票数 6
我想做的是用IPTables阻止RST攻击。
当我搜索它时,我看到带有RST标志集的数据包被速率限制的规则。
我有点怀疑。我想我需要限制RST / ACK,而不是RST
如果我没有弄错,当客户端决定中止现有连接时,服务器将接收到RST / ACK数据包,服务器将使用ACK进行响应并关闭连接。
因此,服务器通常从不获取或发送RST数据包。我觉得总是RST / ACK
除非客户端被欺骗,并且攻击者插入RST标志。
但为什么要关闭连接呢?
我可能错了,因为我到处都看到了,但我认为攻击者需要插入RST / ACK,不是吗?
服务器不能看到RST / ACK与没有ACK的RST之间的区别
浏览 0提问于2012-04-22得票数 1
能否从单个客户端执行缓慢的Post HTTP攻击?
以下来源引用了这一行:https://medium.com/fantageek/understanding-socket-and-port-in-tcp-2213dc2e9b0c
端口为16位数,因此任何给定客户端与任何给定主机端口的最大连接数为64K。
但从最高峰开始。服务器可以处理的连接数量通常比上述限制要大得多(大约300 K,但可伸缩),我假设慢Post HTTP攻击只能作为DDoS攻击(使用一个以上的客户端)。
但是我也可以看到关于缓慢的Post HTTP攻击的描述是DoS攻击。就像。https://blog.qualys.com/
浏览 0提问于2020-07-17得票数 0
我读到的关于冒充网站的文章越多,我就越困惑。攻击者是否需要服务器的私钥才能模拟网站,或者拥有私钥只会使他有解密通信的能力?
当我想到模拟一个网站时,我想到了一个碰撞攻击,其中一个md5散列被破坏了,然后可以使用一个假证书来使用一个新的密钥对来有效地模拟一个网站。
当我想到一次MiTM攻击时,我想到的是一种攻击,在这种攻击中,处于中间的人获取服务器的私钥,并在客户端和服务器之间来回转发通信量,从而允许攻击者解密和查看所有通信。对我来说,这不是“冒充网站”。有人能澄清一下我的困惑吗?
浏览 0提问于2014-10-02得票数 0
回答已采纳
在我目前的项目中,我很少有TCP 32‘S通过TCP连接到服务器。这些静电除尘器分布在300米的范围内。
每小时一次,服务器请求(随机)选择ESP,以指示空中的帧。这些被称为"BEACONERS“
同时,服务器要求很少其他(随机)选择的ESP嗅探空气和寻找这些信标,一旦找到-返回到服务器。这些叫做“嗅探器”。
他们每个人(暗影者,嗅探者)都有30秒的“上电视”。
信标帧以纯文本形式输出,它由一个只有信标者和服务器才知道的值组成。这个值随着时间的推移而变化,信标者从来不会发送相同的值两次。
一旦被嗅探器接收到,信标唯一的id和值将返回给服务器,然后服务器验证如下:
信标者的身份证被归还给
浏览 0提问于2021-11-24得票数 0
回答已采纳
今晚,我的服务器进入了“反黑客”模式,我只能使用只读FTP下载我的数据。
他们告诉我,我是对网络的威胁,这些日志导致了警报:
Attack detail : 82Kpps/25Mbps
dateTime srcIp:srcPort dstIp:dstPort protocol flags bytes reason
2016.04.24 03:04:13 CEST MY_IP:44530 8.8.8.8:53 TCP RST 40 ATTA
浏览 0提问于2016-04-24得票数 0
2回答
据我了解,用于加密应用程序数据的原始主密钥从不通过有线传输,它是在客户机和服务器上单独使用类似哈希函数计算的,该函数以下列输入为输入:
客户随机
服务器随机
用服务器的公钥加密的主密钥。
如果中间人捕获TLS握手数据包,如果他以某种方式拥有服务器的私钥,那么他能够生成主密钥吗?那么,服务器的私钥是防止中间人攻击的唯一保护措施吗?
在mTLS中发生了什么,其中客户端也共享其证书(公钥)?它会改变主键的生成方式吗?
浏览 0提问于2022-04-15得票数 1
我使用来更好地理解OpenID连接流,它可以这样说来验证state参数:
用户被重定向回客户机,您将注意到URL中有一些额外的查询参数:
?state=7ymOWcwttpCfDNcs&code=Tav2TPBjSNvR8aowA3oe
由于攻击者可以创建类似于此的GET请求,因此攻击者可以向您的应用程序提供垃圾授权代码。您需要首先验证state参数是否与此用户会话匹配,以确保您启动了请求,并且只发送了为您的客户端准备的授权代码。
基于这一解释,我们使用状态参数防止的唯一“攻击”似乎是攻击者发送我们的应用程序错误代码,我们根据授权服务器检查坏代码,然后被拒绝。
但是afaict
浏览 0提问于2018-09-22得票数 1
回答已采纳
我曾经读过,如果我通过代理(例如使用LOIC)发送DDoS攻击,我不会针对我试图发送DDoS攻击的服务器,但实际上我将DDoS代理服务器。
最重要的问题是:这是真的吗?如果是,为什么?
记录在案:我不想做任何坏事
浏览 0提问于2014-09-09得票数 0
1回答
源ip地址可以被欺骗。而且,由于IPv6的存在,仅保留一个被排除在访问网站之外的ip地址的查找表是不够的,因为使用ipv6,现在有足够的ip地址供单个发件人在send服务器上发送探测请求的五分位数。
考虑到这一点,哪些新的方法可以缓解web服务器的IP转发DDOS探测?
是白名单个人注册用户ip地址和____的唯一解决方案吗?
浏览 0提问于2021-03-02得票数 1
1回答
如果客户机和服务器在前两条消息中提供的随机字节被一个对等点/两个对等点重用,会发生什么情况?
我认为这会大大降低所提供的安全性,例如,如果您多次使用nonce,但我不太确定。
多次使用相同的随机字节是否会导致较不安全的TLS连接。如果是的话,会发生什么和原因呢?
浏览 0提问于2019-11-05得票数 2
回答已采纳
stratum+tcp://binyu.crypto%40gmail.com:x@xmr.pool.minergate.com:45660/xmr.服务器突然忙于运行1个或多个进程实例:./yam -c 1 -M AWS这个矿门是某种“加密货币GUI挖掘器”,所以这是令人担忧的。我已经终止了进程。但找不到这样的问题:我的服务器是否被黑客入侵并被用作某些在线货币服务器?
浏览 3提问于2016-11-28得票数 1
3回答
服务器端SSH密钥受损
、、、
我感兴趣的是,如果主机的服务器端SSH密钥被破坏,后果可能是什么。
目前的情况是:
攻击者设法读取服务器的SSH私钥。
攻击者可以使用MITM与主机的任何连接(因为他正在控制路由器,或w/e)。
这是否意味着攻击者现在可以读取通过任何SSH连接的任何数据?我会说不,因为一些密钥交换算法,如Diffie-Hellman。对吗?
我的猜测是,攻击者所能做的最糟糕的事情就是模拟服务器,导致用户登录他的系统而不是合法的系统。
浏览 0提问于2014-04-04得票数 8
回答已采纳
1回答
跟进中概述的设计,特别是中列出的问题:缓解措施是什么?
具体来说,我有一个web服务器,它公开了一个由移动应用程序使用的REST。我希望用户能够使用Facebook认证服务器(通过应用程序)。
现在,一个明显常见的流程是,应用程序将用户重定向到Facebook,在那里他们将使用自己的凭证登录。然后,应用程序将获得一个令牌,并将其发送到服务器,服务器将使用图形API验证令牌。
但是,服务器如何确保令牌真的来自应用程序呢?具体来说,如何防止恶意应用供应商重用我的应用程序ID?毕竟,应用ID被硬编码到应用程序中,因此可以被恶意应用程序提取和使用。如果用户使用Facebook登录恶意应用程序,那么恶意
浏览 1提问于2017-04-09得票数 0
回答已采纳
最近,我被要求更新安装在许多客户端服务器上的遗留web应用程序,以使用当前版本的jQuery 3.3.1,而不是1.10.2,后者存在许多漏洞。
我是否需要简单地更新系统使用的版本以提高其安全性,还是也需要从服务器中删除旧的jQuery文件?
该系统仅以相当有限的方式使用jQuery,因此我不认为更新会导致太多的重新开发。考虑到这一点,如果系统没有使用任何带有漏洞的特性,我甚至需要更新jQuery吗?
浏览 0提问于2019-01-14得票数 3
回答已采纳
1回答
最近,我的许多朋友一直在谈论僵尸网络。他们说他们自己创造了。,很明显,我
我知道这都是违法的,所以我尽量不参与其中。
但我一直在想它们是怎么工作的。我在网上读过一些文章,也读过一些关于控制服务器和点对点通信的基本知识,但我仍然不太明白。有时我的朋友会问什么托管公司支持UDP欺骗,我不明白。C--他们只是从我假设的设备上发送UDP数据
在向DNS服务器发送数据时不欺骗源IP (例如)?
浏览 0提问于2022-01-26得票数 0
回答已采纳
1回答
我需要一种安全的方法来将密码存储在数据库中,但我也需要一种获得原始密码的方法。当然,如果不是这样的话,我就会把它搞砸了。为了解决这个问题,我想出了以下解决方案,但我想知道它是否安全。
我在服务器上有一个秘密密钥,另一个秘密密钥保存在客户端应用程序中。后者对于每个用户来说是不同的,每次用户登录时都会生成一个新的密钥。
只有当用户发出请求而服务器需要获得原始密码时,服务器才会同时拥有两个密钥。这意味着当服务器被破坏时,密码仍然是安全的,因为您只有总密钥的一半,而且由于我使用的是AES 256,所以仍然需要破解128位。
这可以吗,还是我漏掉了什么重要的东西?
编辑:我需要在对外部服务的API调用中
浏览 0提问于2016-09-14得票数 2
想象一下情况:
应用程序可能通过SSL/TLS运行,也可能不运行
应用程序不应该知道客户端的密码,因为客户端可能重用密码。
那么,合并客户端和服务器端密码哈希不是最好的吗?
如何创建密码:
用户在字段中输入密码。
本地端javascript哈希密码,并提供salt用户名。
该散列数据通过网络传输到服务器。
服务器将随机生成的salt添加到哈希中,并将两者重新散列到一个新哈希中。这个新的散列和服务器端随机盐被存储。
登录将如何工作:
用户在字段中输入密码。
“登录”字段的值作为salt,本地端javascript计算散列。
此哈希通过网络传输到服务器。
服务器获取存储给该用户的salt,将散列和
浏览 0提问于2015-06-16得票数 1
1回答
目标
通过HTTP请求验证客户端。
验证客户端的WebSocket连接。
防止利用WebSocket连接(当网站上存在XSS漏洞时)。
我是怎么做的
步骤1客户端通过发出常规HTTP请求访问网站。Cookie用于验证客户端和服务器响应的JS snippet +AuthToken(生成和保存在服务器上):
(function() {
var ws = new WebSocket("wss://localhost:1000");
// application logic goes here
})();
步骤2服务器将新创建的WebSocket连接标记为不安全/未知。
浏览 0提问于2021-08-15得票数 0
回答已采纳
1回答
一个朋友在问我关于mod_proxy模块的事,
他们有一个最近被mod_proxy攻击的服务器,在检查了他的日志之后,他说他不会受到那些攻击,因为他们有一个更新的版本.
因此,为了避免进一步的攻击,他询问服务器上是否需要这些模块:
mod_proxy.so
mod_proxy_connect.so
mod_proxy_ftp.so
mod_proxy_http.so
mod_proxy_ajp.so
mod_proxy_balancer.so
或者他可以安全地移除它们..。
谢谢!
浏览 0提问于2011-08-18得票数 0
回答已采纳
1回答
用乌贼防止MITM攻击
、、、、
有两种选择,最好的方法是什么?
我也想
创建一个检测MITM攻击的squid代理服务器
或
创建python应用程序,以检测本地证书存储和从服务器发送的证书之间的差异。如果存在差异,请在客户端显示错误,说明防止了可能的MITM攻击,然后将用户重定向到真实站点。这个是可能的吗?我能用什么编程语言来解决这个问题?
浏览 0提问于2021-03-21得票数 -1
我管理一个公共服务器,它每天接收来自不同来源的大约100次csh冲击。它是一个HTTP方法,它请求/cgi/authLogin.cgi URI。
知道我的服务器中不存在所请求的URI,从internet接收很多攻击尝试是否正常?这是否意味着我的服务器被破坏了?
编辑
有网络审计经验的人能告诉我从互联网收到这么多的攻击是否正常吗?
浏览 0提问于2014-12-31得票数 3
1回答
我有第一代iPad,当我在家的时候,我通常会用它浏览网页。第一代iPad不能运行更新版本的iOS (我被iOS 5困住了)。我去了一个网站,告诉你的SSL客户端是好的还是坏的。我的iPad有一个糟糕的SSL客户端。我有一台用作个人家庭服务器的计算机。服务器有一个良好的SSL客户端。我想知道是否可以将我的iPad连接到该服务器,然后服务器会为我加密连接。我想要做的是使用计算机作为代理服务器,iPad和我的代理之间的连接可能是不安全的,因为我信任我的家庭网络,但是代理和web之间的连接将被安全加密。我试着使用Squidman代理服务器,但我再次访问了那个网站,它告诉我SSL客户端是坏的。因此,我认
浏览 0提问于2014-06-16得票数 1
回答已采纳
1回答
关于加密的使用,我有一个问题:
我设置了一个Ubuntu12.04服务器,将其用作路由器、备份文件服务器和set服务器。当然,将备份放在与web服务器相同的系统上可能不是最好的主意,但这只是为了私人使用,我不想花太多的钱。
因此,我认为为备份用户帐户设置/家庭加密并不是个坏主意。但在同一时刻,另一个问题出现了:它仍然有意义吗?
通过SSH,根登录被禁用。并且访问该用户的/home文件夹的权限减少到用户本身。
因此,访问/home文件夹的唯一方案是将键盘/显示连接到服务器,以根用户身份登录并更改为/home。还是我监督过一个场景?如果我是对的,您只能作为备份用户从“外部”访问/home-文件夹。
浏览 0提问于2012-09-16得票数 4
回答已采纳
1回答
在kerberoasting中,用户请求任何已注册SPN服务的服务票,然后使用该票证破解服务密码。但是在kerberoses认证过程中,KRB_TGS_REQ请求被KDC(票据授予服务器)持有的TGS密钥加密。
我希望到目前为止我是对的。
问题-攻击者如何将KRB_TGS_REQ请求发送到KDC(票证授予服务器)。
1-如果没有加密,为什么KDC(票证授予服务器)会因为未加密而返回服务票证
2-如果是的话,它是加密的,那么它是如何加密的,是用哪个密钥加密的。
3-他是否从一开始就执行整个kerberos身份验证过程,如果是,那么为什么他需要提取服务密码,因为当身份验证完成时,他将访问该服务。
浏览 0提问于2022-04-07得票数 0
如果web应用程序和数据库位于同一服务器上,加密数据库数据的安全好处是什么?显然,密码应该以任何一种方式进行散列。
我假设,如果攻击者能够注入一些SQL或服务器代码,他将能够查看数据库数据。有人能更准确地勾勒出安全的影响吗?
编辑:为了澄清,我说的是数据加密。加密方法不是确定性的所以enc(data1) != enc(data1)
浏览 0提问于2015-02-06得票数 1
回答已采纳
我理解为什么SSL客户端证书没有被广泛使用(需要安装它们,共享机器的问题等等)。另一方面,当我登录到服务器时,密码将被发送到服务器内存中。此外,如果服务器证书泄漏,并且存在DNS欺骗,则无法防止MITM获取密码。虽然这种类型的攻击很少发生,但仍然会发生(参见diginotar)。
我提出了一个非常简单的方案--因为它没有被广泛使用--我假设它有问题:
在设置密码时:
随机盐生成(由客户机、服务器或两者兼而有之)
客户端获取salt和密码,并为先前商定的密码安全PRNG种子。
公钥和salt存储在服务器上。
登录时:
盐被发送给客户
客户端重新生成私钥
服务器之间的质询/响应的身份验证中继
这种
浏览 0提问于2012-03-17得票数 1
回答已采纳
1回答
我想开始学习如何管理自己的服务器,并将cPanel / WHM抛在脑后。我刚买了一个运行Ubunutu的VPS (Linode)。我要去他主持多个网站,在那里,在一个灯堆栈。
无论如何,我的问题是,是否应该为每个网站创建一个新用户并将文件存储在每个站点下,还是创建一个“站点”用户并将所有站点文件存储在该用户之下?
谢谢。
浏览 0提问于2013-02-16得票数 0
我有一个攻击场景,首先我发送一个恶意的pdf给我的受害者,然后我在他的计算机上有一个反向tcp shell (Meterpreter会话),然后我想利用我的受害者网络上的samba服务器(已经被利用了),这个服务器是无法从外部访问的,在这部分,我可以使用metasploit从我的第一台受害者计算机内部攻击那个服务器吗?(所有这些电脑都在我的实验室里,由我自己控制)
浏览 0提问于2016-05-30得票数 1
回答已采纳
我理解客户证书和MITM攻击的问题已经被问了好几次,但是我不相信这个特定的场景已经被回答了。
我(似乎不正确)的假设是,客户端证书的存在将使服务器能够确保客户端正确地使用其服务器证书,而不是MITM提供的假证书(通过接收客户端应该只发送的响应,并且只有服务器才能发送到客户端)。
我所做的一些测试表明,如果客户端没有正确地检查服务器证书CA,那么您可以使用MITM。
我理解客户端未能正确识别服务器证书是错误的地方,但是服务器能做什么来确保客户端履行这一义务?
浏览 0提问于2014-02-03得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM活动推荐
腾讯云开发者
