腾讯云
开发者社区
文档
建议反馈
控制台
登录/注册
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
精选内容/技术社群/优惠产品,
尽在小程序
立即前往
文章
问答
视频
沙龙
1
回答
HTTP下的DDos攻击
、
、
、
我们收到了与所有请求具有相同模式的DDOS攻击: 协议HTTP 到达 随机IP地址 加载主页/ 我们的服务器向所有请求返回301,而我们的性能出现问题,服务器出现故障。 我们已经阻止了来自HTTP的所有请求,我们已经停止了攻击,我们想知道为什么我们在HTTP下接收到对服务器的攻击,而不是来自不同来源的HTTPS,我们想知道源IP是否只能使用HTTP请求进行更改? 防止这种攻击的最好方法是什么? 我们的服务器现在只使用HTTPS,没有问题。运行在Azure Web应用程序上的服务器。
浏览 2
提问于2020-07-14
得票数 1
1
回答
利用局部存储和cookie预防CSRF
、
在40:08分钟的会议上,休伯特提到了防止CSRF攻击的最佳方法是做以下工作: 生成一个随机的id服务器端-让我们称之为CSRF id。 将此id添加到jwt cookie中。还添加一个带有id的响应头(例如,csrfId: xxx) 让客户端将id保存到本地存储。 在每个请求中,客户端都应该附加一个带有这个id的头。 对于每个请求,服务器应该验证接收到的cookie中的id是否与接收到的标头中的id匹配。 我的问题是:如何阻止CSRF攻击者手动读取cookie,获取ID,然后将其添加到攻击请求中? 另外,本地存储不会使ID易受XSS + CSRF组合攻击的影响吗?
浏览 10
提问于2022-08-27
得票数 2
2
回答
给定会话基础结构上的安全风险
我想知道这是否是一个适合于会话管理的模式。一旦用户通过用户/pass进行了身份验证,服务器将返回session = MD5(SECRET + user_id) (以及其他字段),其中SECRET是一个随机字符串(例如256位)。 然后,客户端将接收到的session哈希与每个请求一起发送,服务器通过检查MD5(SECRET + user_id)是否等于接收到的哈希来验证它。 这里的潜在风险是什么?我猜想,如果用户能够发送一个空的user_id,那么她离SECRET更近了一步,但这是很容易避免的。此外,SECRET可以每周左右进行一次培训。 (注意:我使用Node作为移动应用程序的后端,因此没有
浏览 0
提问于2016-08-14
得票数 1
1
回答
是否有简单的命令行工具来解码SQL注入请求字符串?
我的web服务器周期性地受到攻击,我收到了一堆看起来像 /my.page?union+all+select+0x31303235343830303536%2C0x31303235343830303536%2C0x31303235343830303536-- 是否有简单的命令行工具对此进行解码?
浏览 0
提问于2013-08-27
得票数 0
1
回答
当客户端发送RST数据包时,服务器会关闭连接吗?
、
我想做的是用IPTables阻止RST攻击。 当我搜索它时,我看到带有RST标志集的数据包被速率限制的规则。 我有点怀疑。我想我需要限制RST / ACK,而不是RST 如果我没有弄错,当客户端决定中止现有连接时,服务器将接收到RST / ACK数据包,服务器将使用ACK进行响应并关闭连接。 因此,服务器通常从不获取或发送RST数据包。我觉得总是RST / ACK 除非客户端被欺骗,并且攻击者插入RST标志。 但为什么要关闭连接呢? 我可能错了,因为我到处都看到了,但我认为攻击者需要插入RST / ACK,不是吗? 服务器不能看到RST / ACK与没有ACK的RST之间的区别
浏览 0
提问于2012-04-22
得票数 1
2
回答
对SSL/TLS的DDoS攻击
、
在接收到ClientHello消息时,大多数情况下,web服务器(并且不对客户端进行身份验证)执行diffie-hellman指数模块化操作来计算和保存f = g^a mod p,并在其ServerKeyExchange消息中与客户端进行通信。这不使服务器容易受到DDoS攻击吗?协议是否实现了减轻此类攻击的机制?
浏览 0
提问于2017-07-27
得票数 2
1
回答
对专用DNS服务器的无限制查询访问是否被认为是不安全的?
、
、
假设一家企业有一个网络和一些相应的基础设施。重要的是,提供对工作资源的远程安全访问的VPN,以及用于DNS的专用DNS服务器(不是这样),还可以像通常的业务DNS服务器那样阻止恶意软件域。DNS服务器面向internet并可访问。但是,DNS服务器并不被配置为只处理来自网络/VPN的请求.它将响应和服务任何它从互联网收到的请求。这是不安全吗?这并不是说有人用您的服务器解析域确实意味着什么,但同时这也意味着一个不相关的、未经身份验证的第三方可以使用该服务器。
浏览 0
提问于2021-05-04
得票数 1
回答已采纳
1
回答
具有SSL和CSRF关系的CSRF基础
、
、
、
、
我正在尝试实现CSRF和SSL(它们并不完全依赖),并列出了我对主题的理解,以获得理解的证据。请随时纠正我对此的理解。 我们在几乎所有的安全应用程序中都看到了CSRF令牌。 跨站点请求伪造的工作方式: 你登录了你的银行账户。看看你的账户,或者只是因为你忙着就把它们打开在你的浏览器上。现在您收到的电子邮件可能是文本/图像或任何在下一个选项卡。当收到电子邮件时,诸如onload等函数,其他java脚本函数可能会在您不知情的情况下从浏览器中触发GET/PUT/POST请求。现在要注意的是,CSRF实际上无法从您的安全网页中读取任何内容,因为一旦您有了适当的SSL,安全页面就会被加密。而且CSRF也不
浏览 2
提问于2017-02-16
得票数 0
1
回答
如何阻止DDOS从唯一的ip地址?
、
、
我在LAMP服务器上遇到了问题,Apache总是收到大量请求"POST / HTTP/1.1“,但总是来自新的IP地址。使用iptable阻止IP显然不会有帮助。有什么办法阻止甚至减少这种流量吗?我不能在Apache前面安装squid代理或类似程序,也不能安装外部防火墙。我是否必须与服务器所在的ISP联系?
浏览 0
提问于2013-08-19
得票数 0
回答已采纳
2
回答
试着理解某事
、
、
、
、
所以我想弄清楚,如果我从另一台服务器接收到UDP流量,我真的不能阻止它,就像iptables --它只是阻止被处理的流量,但是我想阻止它到达接口,有什么方法可以阻止IP发送流量到服务器,比如没有接收到它?
浏览 0
提问于2018-03-04
得票数 -5
2
回答
如何在Linux服务器上安装易受攻击的OpenSSL版本?
、
我想在我为团队网络安全挑战而设置的服务器上编译并安装一个心脏出血型易受攻击的OpenSSL版本(因为出于显而易见的原因,这些版本无法从Ubuntu的存储库中安装)。 我使用提供的指令从源代码OpenSSL 1.0.1f下载和编译(运行./config,然后运行make和make install),并试图从我的PC上运行公开可用的“心脏出血POC 来自GitHub”,但是脚本并没有告诉我没有接收到心跳响应,服务器很可能不会受到攻击。 运行openssl version会产生以下输出: OpenSSL 1.0.1f,2014年1月6日。当然,我安装了SSL证书,SSL访问可以在服务器上工作。 安装
浏览 0
提问于2015-03-02
得票数 9
回答已采纳
2
回答
在PHP中直接回显用户代理是一个安全漏洞吗?
、
此脚本易受PHP或JS代码注入的影响吗?在我的快速测试中,我将useragent更改为PHP脚本,但它不会被执行,只是打印。如果将用户代理更改为javascript代码,则会收到user服务器拒绝的连接。 所以用这种脚本我安全吗? string
浏览 0
提问于2019-09-04
得票数 5
2
回答
许多csh http shellshock休克攻击
、
我管理一个公共服务器,它每天接收来自不同来源的大约100次csh冲击。它是一个HTTP方法,它请求/cgi/authLogin.cgi URI。 知道我的服务器中不存在所请求的URI,从internet接收很多攻击尝试是否正常?这是否意味着我的服务器被破坏了? 编辑 有网络审计经验的人能告诉我从互联网收到这么多的攻击是否正常吗?
浏览 0
提问于2014-12-31
得票数 3
1
回答
这个DIY密码认证计划可以接受吗?
、
、
这主要是一个客户/服务器通信的思想实验,我想知道其中的缺陷。 当创建用户帐户(以U为用户名,P为密码)时,我生成一个随机盐(S),并将这些值存储在数据库中(服务器端):U、S和H,计算为H = hash(U+S+P)。 对用户进行身份验证时: 客户端首先通过向服务器发送U来“尝试身份验证”。 服务器为该用户创建一个挑战代码(R),并将其存储在数据库中,并将此挑战过期(T)并将R和S发送回客户端。 客户端计算自己版本的H (通过散列U、S和P;它有U和P,并从服务器接收S )。 然后,客户端将一个新的值G计算为G = hash(H+R),并将这个G发送回服务器(实际的“身份验证请求”)。 服务器
浏览 0
提问于2015-05-25
得票数 1
回答已采纳
3
回答
仅使用nginx的简单CSRF保护
、
、
、
、
我有一个提供普通HTML和JS文件的nginx服务器。 然后,js代码调用各种REST API从API服务器获取/发布数据。 如果nginx收到对/api/ location的请求,它会将该请求转发到处理所有api的另一台服务器。这个api服务器是用Ruby on Rails构建的。 因为我所有的纯HTML页面都是由nginx直接交付的,所以我不能在渲染时进行服务器端会话。 如何防止CSRF攻击?
浏览 4
提问于2013-12-29
得票数 10
回答已采纳
1
回答
收到通知我的服务器参与"DNS放大攻击“。我怎么能停下来?
、
我刚收到一封来自我的网站互联网提供商的电子邮件,我的服务器在过去几周中一直作为开放解析器参与DDoS攻击(DNS反射)。 这是完整的电子邮件: 主题: DNS放大攻击亲爱的先生或女士,我们收到了垃圾邮件/滥用通知。请采取必要步骤,防止今后再次发生这种情况。此外,我们还请你在24小时内向我们和提交本申诉的人提供简短的陈述。这个纹身应该包括事件的细节和你正在采取的措施来处理它。下一步:-解决问题-把你的陈述发送给我们-把你的陈述发送给每封电子邮件投诉的人,细节将由同事检查,他将协调进一步的程序。如果发生几次投诉,这可能会导致服务器被锁定。-附件请参阅您网络范围内打开的DNS服务器的IP地址的此邮件
浏览 0
提问于2013-07-02
得票数 2
回答已采纳
1
回答
密钥交换是否经过身份验证和保密?
、
、
、
我已经做了一个私人的消息传递程序,并想检查一下,在我的密码学使用中没有什么是愚蠢的。我是个业余爱好者,什么都不适合制作。我提前感谢你。 消息交换用AES-OCB对端到端进行加密.会话密钥交换如下: 在开始时,加载私钥并生成公钥。服务器将其公钥发送给客户端。客户端使用know_host文件验证服务器的公钥。在该文件中,主机地址使用其公钥(sha256)存储散列(sha256)。客户端检查接收到的公钥是否正确,否则将显示公钥的sha256指纹供用户验证。 客户端生成128位会话密钥并使用服务器的公钥对其进行加密。客户端向服务器发送:加密的会话密钥、其公钥、会话密钥的RSASSA签名(sha256)
浏览 0
提问于2022-01-06
得票数 0
1
回答
质询、身份验证和会话密钥
、
、
、
、
我在Linux上使用C编写了一个应用程序,我添加了一个身份验证和加密层,如下所示: 1 -client发送连接请求。-server向客户端发送随机挑战。-the客户端向挑战添加一个盐类,并使用SHA1对其进行散列,然后发送它。-the服务器添加相同的盐分并使用SHA1散列挑战,并比较接收到的结果。 2 -In阳性情况下,服务器请求客户端登录和密码。-the客户端发送登录名和密码(使用sha1进行盐渍和散列)。-the服务器在文件中搜索登录名和散列密码。 3 -If客户端发送了一个有效的登录和密码,对他进行了认证。-A密钥会话是通过连接接收到的哈希质询和哈希密码生成的。 4 -the密钥会话用于
浏览 0
提问于2013-09-21
得票数 1
回答已采纳
1
回答
清除DNS服务器的缓存?
、
是否有攻击者清除DNS服务器的缓存以便对其进行毒害? 例如,如果有人试图欺骗Google.com而攻击我的DNS服务器,他们将收到响应"Google.com已经在缓存中“--那么攻击者有机会清除缓存中的数据吗?
浏览 0
提问于2013-08-19
得票数 2
回答已采纳
1
回答
有没有办法知道HTTP服务器可以接受哪些标头?
、
、
、
假设存在访问某个端点所需的服务器身份验证。 开发人员添加了一些逻辑来绕过身份验证:如果服务器接收到header give_me_access=true,那么服务器回答就不需要身份验证。 是否有办法让攻击者知道服务器接受此标头?
浏览 0
提问于2021-07-23
得票数 1
回答已采纳
1
回答
摘要认证的概念-它真的工作吗?
据我所知,Digest身份验证(这是一种单向操作)散列密码,并将散列数据传输到服务器。然后,服务器将使用存储的密码,对其进行散列,并与接收到的哈希密码进行比较。应该是不受中间人攻击的。 我不明白的是,如果我是中间人黑客,我不需要原始密码。那么,只需使用哈希密码,因为这是一个服务器将比较。 那么,这个Digest身份验证机制有什么用处呢?从总体上看似乎不起作用。
浏览 1
提问于2013-09-01
得票数 7
回答已采纳
1
回答
在XSS漏洞情况下保护Websocket连接
、
、
、
目标 通过HTTP请求验证客户端。 验证客户端的WebSocket连接。 防止利用WebSocket连接(当网站上存在XSS漏洞时)。 我是怎么做的 步骤1客户端通过发出常规HTTP请求访问网站。Cookie用于验证客户端和服务器响应的JS snippet +AuthToken(生成和保存在服务器上): (function() { var ws = new WebSocket("wss://localhost:1000"); // application logic goes here })(); 步骤2服务器将新创建的WebSocket连接标记为不安全/未知。
浏览 0
提问于2021-08-15
得票数 0
回答已采纳
3
回答
如何在web服务器上通过简单的函数来阻止DDoS攻击?
、
、
、
、
我有一个预防ddos攻击的简单思路。如果我的想法是错误的,请澄清我。 选项1 从对DDOS攻击的基本理解来看,攻击者正在向web服务器发送大量数据。那么,提供大数据上传到他们网站的网站呢?难道他们不是同时从很多上传用户那里接收到了很多数据吗? web服务器不能像许多上传数据的用户一样对待ddos攻击吗? 选项2 网站报价怎么样,每个访问网站的人都要临时键吗?使用该临时密钥插入网站,唯一的一个(PC/IP)可以访问该网站,因此bot-net不能攻击该网站(bot-net没有临时密钥)。bot-net能记下密钥并插入到网站中吗? 附注: 这是类似的问题DDoS -不可能停下来?
浏览 0
提问于2015-09-04
得票数 1
回答已采纳
1
回答
在什么情况下,您的电子邮件可能不会发送给您的目标收件人?
、
、
我这么问是因为偷听别人的邮件是一回事,但阻止你的邮件到达收件人是另一回事。例如,我给一位同事发了一封电子邮件,他和我来回交换了几封关于我们机密项目性质的电子邮件。后来我发现,我的同事从来没有收到过我的电子邮件,因此不是回复我邮件的人。这里到底发生了什么?有人进入我的电子邮件服务器,还是我同事的电子邮件服务器?我想弄清楚一个人是如何阻止电子邮件通过的。
浏览 0
提问于2015-07-08
得票数 0
1
回答
检查向量是在另一个方向后面,还是相反方向?
、
我正在做一个网络游戏,在客户端,我用服务器发送的外推位置插值客户端的位置。客户端有自己的物理模拟,由服务器分步骤进行校正。问题是,当它滞后,我‘踢’球,服务器收到一个延迟的消息,并发送给我的位置向后的客户位置,使球来回。我想忽略这些,也许在服务器上对此进行补偿,但不确定。问题是,在这些情况下,时钟的差异是0.07ms或0.10ms,我想忽略这个信息不是很高。 当我得到服务器位置时,我用时钟间隔* serverBallVelocity推断 我能检查一下我的新球服务器位置是否在我的实际球矢量位置后面吗?我试图使用点乘积后,标准化两个向量,以检查他们是否是相对的,但它没有正常工作。 对此有什么建议吗
浏览 0
提问于2011-10-25
得票数 2
2
回答
使用单个进程填充整个服务器RAM的攻击向量是什么?
、
我知道有几个攻击方法名,比如叉炸弹或csrf,但是如何定义一个攻击,它包括发出一个请求,用一个进程填充整个服务器内存?也就是说,让服务器花费时间来管理交换,而不是其他任何东西。 我知道这是dos,但我想知道确切的名称(例如,叉炸弹是dos方法)。无论如何,我确信这是一个公共的向量,我需要它的特定文档,以说服某人让一个进程填充服务器内存的正常使用不是一种预期的功能。(如果我有一个名字,那么找到类似维基百科的文章就很容易了) 我在任何地方都找不到类似的东西。 更新 这种情况是关于在一个启用zlib的ssh通道上一个git推送中发送数百万条命令。(命令在ram中排队,并在收到所有命令时开始处理)
浏览 0
提问于2015-11-21
得票数 1
回答已采纳
2
回答
防止api请求泛洪/滥用的一些策略是什么
、
、
、
我的服务器(节点)上有一个将新数据写入数据库的API。要使用API,用户需要提供充当标识符的令牌。因此,如果有人淹没了我的数据库或滥用了api,我就能知道是谁。 但是,我可以使用哪些技术来防止服务器被洪水淹没或挂起?请注意,对API的大多数请求都是由服务器本身完成的,因此,从理论上讲,我可能会每秒从我自己的服务器地址收到几十个请求。 我想得到一些阅读材料的参考资料。 谢谢!
浏览 0
提问于2015-07-02
得票数 4
1
回答
在http2中,如果客户端忽略服务器的设置框架,服务器应该做什么?
当有许多连接时,我们希望通过设置帧中的SETTINGS_HEADER_TABLE_SIZE来减少动态表的大小。如果客户端忽略设置帧,并且不发送带有ack标志的设置帧,服务器会使用默认值(4096 octets )吗?如果是,客户端可以在收到服务器设置帧后使用4096八进制动态表发送多个请求。这可能会导致服务器的内存使用过much.How来避免这种情况吗?
浏览 1
提问于2016-01-06
得票数 1
回答已采纳
1
回答
服务器端:如何管理像攻击这样的“延迟”动作/事件?
、
、
目前我正在编写一个游戏服务器,所以我做了一个事件“处理程序”。我的意思是,如果一个玩家发送到服务器“我移动”它启动了一个功能,所以我认为我现在做得很好。 但有个问题我不知道怎么处理。让我们举个例子。 当玩家想要攻击时,他需要按一次键,它每秒钟就会自动攻击一次,这意味着服务器收到一个“我攻击”的数据包,而服务器处理它,但我不知道如何使玩家每秒钟攻击一次。很难解释我很抱歉!所以我现在要做的是,如果服务器从玩家那里接收到“我攻击”,我就为播放器启动一个计时器,它每秒钟调用一个函数。我对每个球员都这样做,但是,我认为这不是一个好主意。做一个大定时器更好吗?如果是,我应该使用哪个间隔?100毫秒或更多?
浏览 0
提问于2014-07-12
得票数 0
3
回答
如何规划一个“安全”的HTML表单
、
、
、
我使用$_POST读取通过超文本标记语言表单发送到服务器的数据,从而缩小了攻击暴露的范围。如何在表单中使用某种令牌来增强安全性?但是,使用嗅探器可以读取令牌。 *编辑*我同意上面的消息是通用的…我会尽量给出更多的细节! 好的,PHP/Server生成包含某种用户修订数据的电子邮件;这是通过包含HTML表单的HTML电子邮件来完成的。当用户收到这些电子邮件时,他们编辑表单中的数据,并将其发送回服务器,服务器反过来将其存储在数据库中。 而对于其他类型的交互用户/服务器,则需要登录/认证,在这种情况下,某些特定的电子邮件客户端,如移动电话,确实允许读取HTML电子邮件消息和处理表单,不幸的是,不允许
浏览 3
提问于2010-08-12
得票数 0
回答已采纳
2
回答
HTTP服务器无效请求/连接节流
、
我有一个定制的HTTP服务器。 当F5在浏览器中按压时,服务器会被请求猛击。 如何检测和限制这些(或任何其他)无效连接? 看来,对于每一个传入的IP,我必须记录每一个请求之间的时间长度,以及请求是否有效。如果在一定时间内收到一定数量的无效请求,我只需在一段时间内断开(或禁止)来自该IP的所有进一步连接。 有人有关于这个主题的文章、建议或建议吗?
浏览 0
提问于2010-09-10
得票数 1
4
回答
为什么websocket请求中的服务器必须回答一个挑战?
我正在阅读websocket规范,它说: 最后,服务器必须向客户端证明它收到了客户端的WebSocket握手,以便服务器不接受非WebSocket连接的连接。这可以防止攻击者通过使用巧尽心思构建的WebSocket服务器发送精心编制的数据包来欺骗该服务器,这种数据包使用的是XMLHttpRequest\XMLHttpRequest,或者使用的是一个{##**$$}}表单提交。 我读了好几遍了,但我仍然不清楚为什么需要这样做。
浏览 6
提问于2011-06-16
得票数 10
回答已采纳
1
回答
pfSense + DDoS保护
、
、
我在一个拥有100 port端口的colo上运行一个游戏社区。我想购买一个非常便宜的35美元服务器与相同的100 port端口,并运行pfSense作为硬件防火墙使用。我正在和一群14岁的孩子打交道,他们可以接触到僵尸网络,所以要想得到这样的东西,就变得有点必要了。我的总体问题是,在廉价的相同数据中心/端口速度服务器上使用pfSense是否值得真正阻止DDoS攻击? 更详细一点,因为我想你会问这个,我们收到的攻击通常在1 1Gbps左右。我们目前使用currently运行CentOS,即使使用软件防火墙,我们也很容易阻止500 just的UDP泛滥,或者只是一般的攻击。 谢谢,-内克罗
浏览 0
提问于2012-11-10
得票数 1
1
回答
web服务器攻击thinker/js/think.js的想法是什么?
、
、
我的web服务器在thinker/js/think.js和thinker/showSimilarInfo.do上收到了很多GET请求。 这些请求显然构成了服务器攻击。 这些袭击有什么意义? 另外,是否有一种方法可以自动禁止试图进行这种攻击的IP。
浏览 0
提问于2011-07-02
得票数 1
1
回答
为什么ChangeChiperSpec放弃工作?
显然,在过去,一个处于中间的人能够通过简单地压制ChangeCipherSpec消息来击败TLS的安全(确切地说,是保密的)。 它被称为"ChangeCipherSpec下降“,不幸的是,我只能在网上找到很少的信息。 一些消息来源说,攻击者会简单地丢弃ChangeCipherSpec消息,而其他人则不太精确,我发现这里的这张图形显示了ChangeCipherSpec和Finished消息的交叉。 📷 我的问题是: 为什么服务器会发送有效载荷数据?服务器不是应该等到从客户端接收到ChangeCipherSpec和Finished消息之后才发送自己的ChangeCipherSpec和Fin
浏览 0
提问于2017-10-08
得票数 1
2
回答
这个REST服务认证系统安全吗?
、
我必须为RESTful web服务实现基于令牌的身份验证。这是我第一次在软件中实现安全特性,这就是我目前的想法: 客户端首先使用电子邮件和密码通过登录表单(在客户端应用程序中)进行身份验证。 如果身份验证成功,用户将在响应中获得私钥(随机生成)和令牌(字符串-随机生成?)。服务器将存储在db中(或者可能是缓存?)包含以下字段(电子邮件、私钥、hashedToken、令牌过期)的元组,其中hashedToken是在令牌上计算的HMAC的值,并使用私钥键。 客户端存储接收的私钥和令牌(在内存中)。 对于每个未来的请求,客户端将在自定义报头(即authToken)中包括在令牌上计算的HMAC值,用私
浏览 0
提问于2013-08-26
得票数 2
回答已采纳
2
回答
如何在ubuntu中将mysql 5.5.46升级到5.5.50?
、
我在我的ubuntu服务器中使用mysql-社区服务器(mysql 14.14 distride5.5.46,用于(x86_64))。在我们最近的漏洞扫描中,我们收到了很多应用CVE-2016-XXXX的建议。根据来自ubuntu站点的建议,我需要升级到5.5.50来解决所有漏洞。请提出实现这一目标的最佳做法。
浏览 0
提问于2016-09-09
得票数 -4
1
回答
Microsoft保护警报未恢复
、
、
、
、
我已经用标准(付费)和设置警报实现了Azure DDos。但我的服务器遭到45,000次攻击,没有收到任何与此相关的警报。有人能告诉我在哪里做了任何错误或离开与DDos有关的配置。让我澄清我到目前为止所做的配置:- PlanTurn StandardAlso配置与DDos相关的诊断设置配置DDos保护Sev-1在Azure监视器上的DDos警报
浏览 6
提问于2020-07-10
得票数 1
回答已采纳
1
回答
Google报告dkim传递无效主机
一个月前,我在ubunutu服务器上建立了DKIM、SPF和DMRAC。一切似乎都很顺利,直到我收到了一份令人好奇的DMARC报告。一台rouge服务器设法发送了一封电子邮件,该邮件通过了google的DKIM验证。 怎么会发生这种事?这有可能是使用未更改的消息重播“攻击”吗? <record> <row> <source_ip>RougeIP</source_ip> <count>1</count> <policy_evaluated> <disposition&
浏览 0
提问于2016-04-19
得票数 0
回答已采纳
1
回答
入侵企图?主机'somedomain.org‘不允许连接到此MySQL服务器
、
我们有一个托管在共享服务器上的网站。托管公司的MySQL服务器托管在另一台服务器上。 我们通过web表单收集某些类型的请求,并将它们写入数据库。每10分钟,cron运行一个php脚本 查询数据库中的视图(没有用户提供或程序提供的参数), 向我们发送新的请求,以及 将新请求的键写入另一个表,从而有效地从视图中删除这些行。 这是在cron下运行的唯一进程,cron只运行这一个脚本。 所有php数据库访问都是通过PDO进行的。插入使用PDO的bindParam。 一个php文件包含MySQL服务器的连接信息。它存储在web根目录之外,我是所有者,它的权限是单独为我读取/写入的,完全没有其他权限。 昨
浏览 0
提问于2012-08-03
得票数 4
回答已采纳
2
回答
没有CSRF保护的HTML登录表单
、
、
最近,我们收到了一份漏洞报告,称我们内部应用程序中的HTML表单之一不受CSRF保护。首先,我们无法立即使用开发人员工具手动地复制它,这些工具会查看头部和cookie,发现头部中存在的XSRF-TOKEN。 但是,我们在“匿名”选项卡或“干净”浏览器中复制了这个问题。问题只是在第一次尝试登录时。在发布第一个登录请求时,客户端似乎还没有XSRF令牌,因为这是客户机和服务器之间的第一次交互。 它是否仍然是一个漏洞,如果只在第一次登录请求中复制,就应该加以解决?这类问题一般是如何解决的?在提交登录表单之前,可能需要进行某种类型的客户机-服务器交互,以便客户端能够提前获得XSRF令牌。
浏览 0
提问于2017-12-13
得票数 33
回答已采纳
1
回答
我的服务器容易受到perl漏洞的攻击吗?
、
、
我的web服务器日志中有一些令人担忧的条目,我想知道这是否意味着我的服务器易受攻击。 首先,以下内容似乎失败了,收到了404的答复: [15/Jan/2016:10:27:47 +0000] "GET /cgi-bin/php4 HTTP/1.1" 404 345 "-" "() { :;};/usr/bin/perl -e 'print "Content-Type: text/plainrnrnXSUCCESS!";system(" wget http://204.232.209.188/images/freshcafe
浏览 0
提问于2016-01-15
得票数 3
回答已采纳
1
回答
404's在大请求页面上
、
我们刚转到服务器。一些有大量图片的网页每页都会收到404's的信息。一些图像加载,而另一些则导致404。不同的图像每次都会产生错误。所有图像都存在并且是可访问的。这不是我们刚搬过来的服务器上的问题。我在apache error_log中找到了这些“客户端被服务器配置所拒绝”。 我猜想有一个服务器设置限制了每段时间内将被接受的请求数量,但是我在任何地方都找不到它。 谢谢你,约翰
浏览 0
提问于2018-12-08
得票数 -2
1
回答
"www.xxxxxxxxxx.co.uk“的DNS查找失败,Dns 8.8.8.8
、
、
、
、
如果我有动态IP地址,我可以访问网站,但当我有静态ip地址时,它无法浏览。这是我在ping url时得到的响应。 “"www.xxxxxxxxxx.co.uk”的dns查找失败。这通常是主机名解析过程中的临时错误,意味着本地服务器没有收到来自权威服务器的响应“Static dns: 8.8.8.8 早些时候,我尝试过"“这个链接,但我仍然想知道为什么它不能与8.8.8.8一起工作
浏览 7
提问于2016-10-21
得票数 1
1
回答
无库认证
、
、
、
我正在开发一个身份验证服务器,它可以充当管理多个项目的身份验证的中心位置,类似于小斗篷或奥里奎托斯。 在努力实现refresh_tokens (RT)时,我想到了一种不依赖cookies的替代解决方案。但是首先,我认为使用refresh_tokens会面临哪些挑战: 安全饼干 我目前正在将RT存储在HttpOnly cookie中,SameSite配置设置为严格,以避免浏览器泄漏RT。这还要求我要么让授权服务器在同一个站点(例如auth.example.com)上运行,要么通过我的API服务器将请求代理到身份验证服务器。 刷新令牌旋转 当客户端请求一个新的访问令牌( AT )时,旧的RT会失效
浏览 0
提问于2021-02-27
得票数 2
1
回答
Thous2.0是否比http连接上的基本身份验证更安全?
、
、
我在许多地方读到,基本身份验证在http连接上是不安全的,因为客户端的密码可以很容易地从编码值中得出。但如果是这样的话,oauth 2.0在http上是安全的吗?在oauth 2.0中,浏览器收到访问令牌后,会将令牌附加到向服务器发出的所有请求中。在这种情况下,如果有人获得了访问令牌,尽管他们不能从访问令牌中获得密码,但他们仍然可以使用此访问令牌来伪装成用户向服务器发出请求。如果不是这样,那么谁能解释一下我哪里错了,为什么oauth 2.0被认为比http连接上的基本身份验证更安全? 附注:我在上面的示例中使用的场景与客户端使用其用户名和密码登录应用程序相关
浏览 0
提问于2017-03-03
得票数 1
2
回答
授权令牌应该有多少字节?
、
假设我使用安全PRNG生成随机字节,那么需要多少字节才能确保授权令牌的安全? 具体来说,当用户登录到网站时,将生成一个令牌并将其存储在cookie中,以授权未来的请求。服务器端,令牌将存储在数据库中,并在收到请求时进行查找。
浏览 0
提问于2013-09-04
得票数 11
1
回答
如何将JSON字符串分配给google饼图数据var
、
、
、
我面临的问题是,在我的web服务器中,我通过render_template将一个JSON作为参数发送到我的网站,在那里我想使用那个JSON来显示Google饼图。 问题是,如果我像这样静态地分配google饼图数据: var data = new google.visualization.DataTable({ cols: [ { id: "", label: "objeto", type: "string" }, { id: "", label: "quantidade", type:
浏览 0
提问于2019-07-13
得票数 0
回答已采纳
1
回答
DDoS是否仍然会导致低延迟的ping应答?
、
、
我有一个主机服务器运行星号PBX,其规格如下: Debian 9 x86 64位Linux、2GB RAM、2TB带宽和20 GB SSD存储。 近一天来,服务器似乎“离线”。我不能使用FileZilla (SFTP)进入或连接到它。然而,我得到的是正常的ping回复: Pinging domain.com [IP.AD.DR.ESS] with 32 bytes of data: Reply from IP.AD.DR.ESS: bytes=32 time=28ms TTL=51 Reply from IP.AD.DR.ESS: bytes=32 time=30ms TTL=51 Reply
浏览 0
提问于2018-12-19
得票数 0
回答已采纳
1
回答
如何利用OpenSSL CCS注入漏洞(CVE-2014-0224)?
、
、
只是好奇它在实践中是如何工作的,以及它是否像人们所提出的那样有很大的风险?它说你积极地需要一个MiTM场景,这是可以理解的,但是接下来是哪些步骤来真正降低密码规范呢? 作为一个MiTM,如果您试图更改客户机/服务器之间的消息(即降级CipherSpec),那么肯定是由于SSL的性质,客户端会收到消息不是来自预期源的通知吗? 还是攻击者为所有连接更改了客户机/服务器的CipherSpec,并只是嗅探它们之间的通信量? 或者,您是否需要将此与另一个SSL漏洞结合起来,以欺骗客户端以为您是源,因此它可以信任您之间的消息?
浏览 0
提问于2014-07-03
得票数 6
回答已采纳
扫码
添加站长 进交流群
领取专属
10元无门槛券
手把手带您无忧上云
相关
资讯
服务器被DDoS攻击?如何缓解DDoS攻击?
黑客攻击事件频频发生,如何避免服务器被攻击?
佳能服务器受到黑客攻击
苹果新闻用户收到冒犯性通知,一杂志疑似被黑客攻击
服务器遇到CC攻击怎么解决
热门
标签
更多标签
云服务器
ICP备案
实时音视频
对象存储
云直播
活动推荐
运营活动
广告
关闭
领券