5回答
网站速度慢或者带宽觉得费用高,个人开发者,一般都会想到使用cdn,一方面可以隐藏IP地址,保护了源服务器不会因为攻击,而出现问题,一方面可以提高网站访问速度。有人想到用cdn防御ddos攻击
浏览 921提问于2021-09-27
1回答
你好,请问下最近我的云服务器经常被流量攻击,虽然只是用来测试软件的,但是连续好多天服务器一直被打死,长期下去会对云服务器有影响吗?
浏览 318提问于2021-01-17
1回答
我使用all 128-CBC+HMAC进行所有加密.
目前,我使用的是相同的加密和身份验证/MAC密钥(都是从带有HKDF的主密钥派生的)。
假设向前保密并不是我的项目的一项要求:
每次都有不同的会话密钥是绝对必要的吗?为什么?
浏览 0提问于2017-02-17得票数 1
回答已采纳
1回答
我正在寻找一种网络播放器来播放来自SHOUTcast服务器的音乐流。
我在CentOS上设置了SHOUTcast DNAS 2.0服务器。SHOUTcast可以流式音乐到Windows Media player和winamp;然而,我希望能够流式音乐到一个html弹出窗口与现代浏览器,如火狐,chrome,IE,safari。
一个基于Flash或HTML的播放器会很棒,可以处理循环播放和音频/mpeg流;如果可能的话,开源。
如有任何建议,我们将不胜感激:)
浏览 0提问于2011-01-28得票数 2
回答已采纳
有没有任何先进的解决方案,用于Android应用程序的防篡改和防弹混淆实现?
在我的申请中,我已经使用了以下保护措施:
使用程序保护的研究
反java挂钩限制攻击者绕过根检测和SSL固定。
是否有人有任何防弹先进技术来实现这种解决方案?我遇到了这个解决方案。有人能让我知道它的实施是多么有效和实际吗?
浏览 0提问于2018-04-17得票数 1
我有一个旧的windows机器,我正在寻找一个免费的杀毒程序,使用最少的RAM作为他们的后台监控过程。我不关心它们在运行病毒扫描时的消耗,而是它们的后台进程,这些进程监视正在运行的病毒。
我可以安装这些程序中的每一个(avg/antivir/avast/等等),检查我的空闲RAM,卸载它,并安装下一个程序,但我想知道是否有人已经知道每个主要的免费防病毒程序的RAM使用情况。谢谢。
浏览 0提问于2014-11-09得票数 3
我正在做一个简单的空闲游戏,HTML5 client和Node.js服务器,但我正在使它在线,在那里客户端与服务器(websockets)对话,所有的逻辑都在服务器中(我希望尽可能防止欺骗,因为我想要领头板)。
我的想法是,当玩家X攻击暴民Y,它点击10 (应该获得10 X),所以我通过websocket发送它,“playerX\10”。我如何验证输入,这样一个骗子就不能只发送“playerX\100000000”。
我该怎么处理暴民的死亡?我是否发送了一个"playerX,mobY“,然后服务器立即回复呢?
我是不是太担心安全了?金科玉律是永远不信任客户,而是如何信任客户?
我在想,
浏览 0提问于2018-08-19得票数 0
回答已采纳
登录部分代码如下:
<button open-type="getUserInfo" lang="zh_CN" class='btn' @getuserinfo="login">登录</button>
login () {
let user = wx.getStorageSync('userinfo')
const self = this
if (!user) {
qcloud.setLoginUrl(config.loginUrl)
qcloud.login({
浏览 2197提问于2018-05-29
我试图理解零知识密码校对的用例。
显然,远程服务器存储密码散列并不理想。然后
我需要上传密码到服务器进行验证。服务器知道我的密码。
我需要依赖SSL,这样人们才不会窃听密码。
如果有人攻击服务器,他们可以对我的密码进行字典攻击。
但是ZKPP给我们买了什么和上传到服务器的公钥呢?然后,当我想要登录到服务器时,服务器会生成一个nonce,并使用我的私钥签名它?
这包括把我的私钥存储在我的机器上。有人可以偷这个。因此,通常使用密码对私钥进行加密。密码可能很弱,因此有人可以执行字典攻击,试图解密私钥。
这是ZKPP应该停止的那种攻击吗?
浏览 0提问于2018-09-25得票数 8
回答已采纳
我们用COS存储公众可见的图片,那么怎么才能做到让前端自由读取图片,又能防住被别人恶意利用或者刷流量呢?
如果将权限设置为私有读写,通过后端程序读出来吐给前端,那就会存在系统读取瓶颈,有什么更好的策略能兼顾性能和安全吗
浏览 194提问于2021-09-30
我已经玩了一段时间一个项目的想法,但不能完全解决一个重要的细节。我们的计划是编写一个客户端,该客户端可以编写WebM并将其上传到服务器以供全局查看(如果用户愿意的话),但是,为了保持一致性,我只想允许使用官方应用程序的WebM。
我的第一个想法是将一个秘密密钥嵌入到服务器也知道的导出.webm文件中,但我担心使用正确的工具很容易提取它。
安全的策略是否存在,如果根本不存在的话?
提前感谢!
浏览 0提问于2016-09-29得票数 0
3回答
这个问题已经在网络上被一遍又一遍地问了一遍,但是很多答案要么是荒谬的,要么是相同的。我尝试使用OWASPs,它有一系列故意在web应用程序中构建的漏洞来教授和解释基础知识。
这是一个问题,这些测试是如此容易,即使你不知道如何使你可以做。我还使用了hack.me,它再次只是web应用程序(尽管有些具有挑战性),它都是关于MySQL注入和代码执行的。
所以我的问题是:
什么是合法测试服务器渗透技能和技术的最佳方法?但更具体的说..。有预算吗?假设我可以访问服务器,但很少访问网络硬件,那么我可以采取什么方法来建立一个不完全涉及XSS、SQL注入和PHP执行的实验室呢?
我希望我的问题不是太宽泛,有人
浏览 0提问于2016-02-06得票数 0
我的wordpress网站( http://rohitnair.info/)有个奇怪的问题。“第一个请求”需要很长时间才能做出回应。随后的任何请求都会正常运行。我在调试时观察到的东西
清除浏览器缓存和重新加载运行良好,页面加载速度足够快。
清除cookie和重新加载会产生问题。
因此,我将此上下文中的“第一个请求”定义为没有为域设置cookie的请求。另一个简单的方法来复制这个问题是使用卷曲,而不是发送任何饼干。这是curl -v的输出
$ time curl -v rohitnair.info
* About to connect() to rohitnair.info port 80 (#
浏览 0提问于2012-05-02得票数 2
回答已采纳
2回答
我有一个五六个个人网站,我想发送到https,这样isps就不能注入广告。它们不是托管在60美元/年共享服务器上的网站。
如果我想购买https证书,我认为每个域名的费用大约是每年25美元。考虑到这些网站的性质,这有点让人望而却步。
我不在乎让第三方确认我是我自己。这些网站是良性的内容,我不要求任何信息从用户返回。我只想要一个加密的连接。
有没有一种方法可以让我设置一些东西,这样浏览器就可以通过ssl进行通信,而不给uer一个可怕的“服务器身份未确认”警告?
浏览 0提问于2018-12-16得票数 1
回答已采纳
我一直在谷歌云装甲文档中搜索有关GCP计算VM实例的DDoS保护的信息。据我所见,谷歌云装甲管理保护提供了传统的DDoS保护(可能是第3层和第4层),它必须附加到负载均衡器上。此外,谷歌云装甲自适应保护通过网络流量中基于机器学习的异常检测来提供第7层保护,并且它必须通过谷歌云装甲安全策略应用,而C3必须附加到负载均衡器上。
但是负载平衡器与实例组而不是单个VM实例相关联,它们用于自动标注实例(例如基于实例模板),而不是单个VM实例。我正在运行几个独立的有状态服务器应用程序(每个在它们自己的VM实例中),在这些应用程序中,自动标号实际上不是一个选项。
我可以定义一个实例组(即将自动标度规则设置为
浏览 0提问于2022-01-18得票数 1
5回答
PHP:防洪水/垃圾邮件系统
、、、、
我实际上正在开发一个PHP项目,该项目将提供一个用户系统(登录、注册、发送丢失的密码到电子邮件、.)我认为这可能是很容易被布鲁特力攻击和/或垃圾邮件(发送密码到某人的电子邮件,如1000次等使用你的幻想)。
今天的网络服务器(Apache,IIS)是否有某种针对Brute-Force的内置防御?
实现防垃圾邮件/洪水系统的最佳方法是什么,例如:希望一个页面不能被每分钟调用两次以上,但是另一个页面可能每分钟被调用100次左右。
- I would definitely have to store IP adresses, the time when they last visit
浏览 5提问于2010-01-29得票数 11
回答已采纳
1回答
我在我的网站上使用以下代码:
<?php
$pass = "61e7680d2ac47e5b9e3c82118fae6e3cfcddff285ac75bb82872bb01f24ac657";
function valCookie(){
if (isset($_COOKIE['session'])){
$cookie = json_decode(hex2bin($_COOKIE['session']), true);
global $pass;
$hash = hash('sh
浏览 0提问于2014-11-30得票数 1
2回答
我正在使用WebApi和AngularJS开发一个Web应用程序。我的应用程序是公共机密网站,那里有很多URL是公开的。我的问题是:如果有人编写了非常简单的无限循环,然后开始访问我的服务器,情况会怎样:
<script type="text/javascript">
$(function () {
while (true) {
$.get("https://MyPublicURL", function (data) {
});
};
});
<
浏览 4提问于2017-03-28得票数 0
回答已采纳
我刚听说这事。我计划开发一个ios应用程序- iPhone和iPad版本。该应用程序需要显示基于其访问的国家的内容。(请注意,我只需要国家/地区,不需要更多详细信息)。
我可以获得iPhone/iPad的当前全球IP地址,然后根据我自己在服务器上的数据库将其转换为国家/地区吗?
我不想去找定位服务来处理这个问题,因为我觉得使用IP地址获取国家信息要容易得多。
浏览 1提问于2012-04-11得票数 2
1回答
我想保护我的软件不被破解。在产品上市之前,防裂是至关重要的。
有关该软件的信息:
使用.NET C#构建(Framework4.5.2)
WinForms
32位
我做了几个保护层:
混淆,重命名,反调试
软件与API server (RSA)的加密通信
客户端将生成一个临时AES密钥,并使用服务器公钥对其进行加密,然后将其发送到服务器,服务器将使用他的RSA私钥解密数据,并在第一次请求时使用客户端提供的加密的新AES密钥进行响应。然后,客户端到服务器之间的任何通信都将由服务器RSA发布密钥签名,并由服务器提供的AES密钥加密。
通过从API请求库校验和来验证库的完整性,并对其进行比较。
最重
浏览 0提问于2019-12-30得票数 0
目前一般的DDoS攻击是基于UDP协议的,而TCP方式也最近开始运用了起来,那这两种方式哪种更有优势呢?
浏览 1928提问于2018-05-17
2回答
我的服务器通过DDOS受到更多的攻击。我正在考虑购买一种服务,比如cloudfare或In胶囊,以防止DDOS。
但我不明白一件事。当攻击者看到域受到保护时,他们就无法通过IP攻击服务器了?还是我理解错了他们的服务?
浏览 0提问于2014-10-29得票数 0
回答已采纳
1回答
我有angularjs的申请。我有编辑表单,其中路由中的url是app/ edit /:id。当我转到app/ edit /5时,我可以编辑id = 5的对象。但是当我手动更改指向app/ edit /6的url链接时,app会加载id = 6的对象。这是我的问题,因为我的用户不能编辑这个对象。如何检测这种情况?如何屏蔽它?有什么选择吗?解决方案可以来自其他js框架。
浏览 0提问于2014-11-14得票数 1
我使用AES-CTR来执行数据包的动态加密.每个数据包有16个字节长,但是,取决于正在传输的是什么,这16个字节可能不会被使用。到目前为止,未使用的字节被保留为0。
我不是密码专家,但我想知道这对攻击者拥有这样的信息有多大帮助。了解协议,您可以猜测每个数据包的几个字节,但当这些字节被保留为0时,您实际上可以猜出大多数字节。
是否建议用随机填充代替零?
浏览 0提问于2018-09-07得票数 1
回答已采纳
假设我们使用安全引导和远程认证向服务器证明客户端软件正在与其对话。
是什么阻止了攻击者这样做:
在计算机A上启动客户端软件的合法副本。
使用机器B上的修改副本从服务器获取远程认证挑战。
将TPM_Quote发送到机器A的TPM并通过B转发签名。
据我所知,如果攻击者在机器A上运行代码,则PCR值将是错误的。但是,运行在机器A上的代码真的是与其TPM对话的唯一方式吗?通过物理访问,他不能把自己的信号放在A机CPU和TPM之间的线路上吗?
或者更简单,把它从A机的板上断开,从他自己的硬件发送任意的输入,仅仅是模仿或重放一个合法的引导?我们如何知道给TPM_Extend的度量实际上是发送消息的软件,
浏览 0提问于2020-05-10得票数 1
回答已采纳
由于服务器遭到黑客攻击,SolarWinds一直是在新闻中。目前尚不清楚这一妥协有多久。我从他们那里使用的唯一产品是他们的免费TFTP服务器。该妥协的“指纹”是否已记录下来,以便确定某一下载是否受到影响?这些已泄露的文件现在可以用商业病毒/恶意软件扫描器检测到吗?
浏览 0提问于2020-12-22得票数 1
回答已采纳
9回答
上次中了,这次又中了,我实在不清楚我是在哪里攻击了。只开了21加上数据库的端口,以及app的端口,杀毒软件也开了,但是提示是在上午开始的,那个时间段我没有进入服务器。如果是我本地被挂马的,那么我访问的其他阿里云一点问题都没有,就单单腾讯云出问题了。看来贵还是有贵的理由。而在那段时间我只是在腾讯云的控制台用网页远程登录了服务器,没有进行其他操作,就这样。。。等时间到了,换云服务器,这实在受不了,还好是公司自用的,加密就加密了,无所谓。要是客户用这个,后果没法想。
浏览 2239提问于2019-01-18
2回答
我们刚刚入侵了我们的一台服务器,一个入侵者使用JBoss帐户进行访问,并开始运行开发脚本。服务器已经离线,正在接受调查,但我很好奇他是怎么进来的。
JBoss 4.x.x中是否存在允许入侵者通过该帐户运行shell脚本的已知漏洞?
浏览 0提问于2011-03-10得票数 6
回答已采纳
目前服务器的正遭受大量http请求攻击,比如每分钟将近200个IP,发起20000+次手机号+密码的登录接口请求()。
目前已经累计受到80000+ip, 将近2000万次登录请求,每次登录请求中手机号不重复。
现在采取的措施是利用nginx自带的模块,配置IP+uri,限制请求频次。
但仍然给服务器造成压力,主要是cpu,外网带宽。本站是小站,前置腾讯云服务器配置四核cpu
,40mbps带宽。
已经持续3天3夜。
求助大家,该用什么办法对付!!
浏览 460提问于2018-10-22
说
加密防止用户检查数据,并且签名确保会话既不能被劫持,也不能被篡改。
我不清楚为什么会这样。如果窃听者在从服务器发送cookie时得到了它,并在合法用户提出另一个请求之前使用它,那么会话不会被劫持吗?
在我看来,真正防止会话劫持的唯一方法是始终使用SSL。但是如果我这样做了,那么Yesod所做的签名和加密就会成为不必要的开销(编辑:开销,就防止劫持而言)。正如@sr_在评论中指出的那样,它仍然是有用的)。
浏览 1提问于2014-11-14得票数 21
回答已采纳
3回答
我只是想知道有什么好的工具或软件可以推荐给我来保护/加密我在SQL Server2008 R2上开发的存储过程?
我读到了create stored procedure with encryption,有没有可能在程序中有bug的情况下解密它?
此外,我遇到了CLR,但我认为我不想在Visual Studio环境中创建存储过程。也可能是我错了。
希望你能在我还在研究这个话题的时候给我一些建议。
最终的目标是,我不希望人们查看我的存储过程并窃取它以供自己使用。
谢谢。
浏览 0提问于2016-03-21得票数 0
我在过去读过一些文章,讨论了在知道评估的时间会泄露正在处理的数据的信息时,对信息进行定时抗攻击响应的重要性。这些文章不止一次地提到一些大意如下的内容:
如果每个响应都是在统一时间内处理的,则攻击者可以根据响应时间了解服务器处理的负载有多重。
基本上,因为攻击者知道您的请求需要N毫秒才能正常响应,所以攻击者可以推断您的服务器处于重负载或轻负载下。但我还没有读过一份文件,说明为什么这些信息是有用的。
我的问题是,这个侧通道是否泄露任何有价值的信息,这些信息有什么用处?另外,如果这些信息是有用的,那么除了在这个问题上抛出更多的硬件之外,如何在某种程度上减轻这个问题呢?
浏览 0提问于2016-01-18得票数 1
2回答
背景
我正在设计一个多人游戏与一个单一的服务器,处理多个世界。每个玩家在请求加入哪个世界之前首先登录到服务器。
服务器有一个固定的IP地址,该地址当前与站点的IP地址相同。如果服务器需要并行运行,这种情况在将来可能会发生变化,但到目前为止,这是一个安全的假设,即服务器实际上是服务器,而不是冒牌货。
我的站点上的密码使用bcrypt和salt进行散列,并存储在MySQL数据库中。
我目前没有SSL证书,虽然我计划尽快获得一个证书,当然在网站处理任何支付细节之前,但游戏仍然可能通过开放的TCP连接进行连接,因此我对验证游戏用户的安全性需求需要手动处理。
受众
游戏的主要受众是十几岁的年轻人,尤其是
浏览 0提问于2015-08-09得票数 4
回答已采纳
我在这里有点困惑。我想运行一个节点服务器,它将被一些客户端查询。我正在尝试使用HTTPS,这是我不熟悉的。
在阅读了一些指南和节点文档之后,我用openssl创建了一个密钥和自签名证书,并创建了一个节点HTTPS服务器。到目前一切尚好。
问题是,当我尝试查询它(我是从一个节点脚本作为测试)时,我得到了一个error: self signed certificate。解决这一问题似乎需要在发送请求时使用rejectUnauthorized: false选项。
所以我的问题是:这是违背了使用HTTPS的目的,还是通信仍然是加密的?
浏览 3提问于2016-12-07得票数 0
回答已采纳
1回答
假设我在客户端和服务器之间有一个安全通道,有适当的证书验证等(实际上,ssh会话)。
我希望在服务器和客户端上建立自己的应用程序之间的安全连接,但不希望实现TLS或某种类型的证书验证,也不希望通过SSH隧道发送数据。
它是否足以生成一个强随机密钥,通过ssh会话发送它,并简单地将该密钥用于对称加密,例如AES?
编辑。意识到我的问题不够清楚。真正的问题应该是这样的:
如果我有一个预先共享的一次性密钥,那么使用TLS值得吗?使用强对称加密(例如AES ),我自己的实现会遇到什么问题?
浏览 0提问于2016-03-26得票数 2
回答已采纳
目前,我正在使用我生成的google密钥,并将其放入安卓应用程序中,以访问SafetyNet和Google Maps。我计划将所有对Google的调用转移到我自己的服务器上,在服务器上存储Google密钥,而不是在客户机中。但是,我也在我的应用程序中使用了SafetyNet API,而google键需要在这个应用程序中进行调用,以获得JWS响应。所以我陷入了一个难题。我不想在应用程序中的任何地方使用google键,如果我不使用SafetyNet,这会很好,但我需要使用它。
浏览 3提问于2017-06-13得票数 2
2回答
我正在IIS7.5和Windows2008R2服务器上运行一个asp.net网站。
如果有人对网站和服务器进行黑客攻击,我如何设置(或需要什么)才能发出警报?
我如何知道服务器/站点是否被破坏?
浏览 0提问于2012-12-19得票数 0
回答已采纳
电商平台防关联,是需要买多个服务器一个平台账号吗,还是一个服务器可以有多个不同的IP
[附加信息]
浏览 577提问于2018-05-24
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
