在过去的几周里我一直受到DDOS的攻击。
现在看来,我的服务器网络正在被淹没,直到它没有空间来接收和发送正常的包。
我运行CentOS5.6,并加强了SYSCTL和iptables,以尽可能地抵御SYN攻击。
我有一个100 my网卡和连接到我的托管公司。
正常输入流量约为8mbit/s,攻击发生时数据峰值达到100 8mbit。
如果我将服务器升级到1 1GBPS网卡+网络连接,它能帮助我抵御攻击吗?
我希望管道在受到攻击时不要这么快泛滥。
浏览 0提问于2011-08-08得票数 5
回答已采纳
1回答
对于REST,客户端会话不能通过维护服务器端状态来处理。后续调用所需的任何此类状态都将传递给客户端,然后作为这些调用的一部分传递回服务器。
那么,您不希望客户拥有的标准方法是什么呢?
例如,我有一个资源X,这个资源的内部实例有简单的名称,如"A“、"B”和"C“。资源X的多个实例可以与给定的用户相关联--在每个REST调用中,我希望指定当前对哪个特定的X实例进行操作。
在简单的情况下,我只需要在REST调用中包括这样的内容:
"xId" : "B"
然而,有许多事情我想阻止.
我希望通过在调用中指定诸如"Z“这样的任意in来防止用
浏览 0提问于2016-04-11得票数 4
最近,我注册了CloudFlare,以利用该服务提供的安全功能。具体来说,我对它在DDOS攻击中的使用感兴趣(这是我面临的一个问题)。
我的web应用程序使用nginx作为反向代理(使用gunicorn作为应用服务器)。通过Azure购买的基于Ubuntu的虚拟机具有静态/保留IP (用作VIP)。我已经读过,在连接到CloudFlare之后,最好的做法是更改服务器IP,这样恶意行为者就不能直接将所述服务器DDOS。
作为一个新手,我不确定这个准则是适用于公共VIP (虚拟IP)还是适用于内部IP (这完全不同)。请有人在概念和功能上为我澄清这一点好吗?真的可以用一些帮助来设置这个!
浏览 12提问于2017-03-31得票数 1
回答已采纳
到目前为止,我已经研究了对RSA的定时攻击,我们都知道ransomware名为CryptoLocker使用RSA 2048位加密。现在,是否可以使用定时攻击破坏加密。我一直在收集关于CryptoLocker的信息,它是一种ransomware,它用RSA 2048位加密来加密系统中的文件,并要求赎金以释放存储在服务器中的私钥并解密受感染的文件。由于它是一种2048位加密,所以不可能破解密钥,然而,通过侧通道攻击,研究人员甚至攻击了4096位RSA加密。定时攻击是一种侧通道攻击。
所以我的问题是,是否有可能通过执行定时攻击来攻击网络罪犯的服务器?
浏览 0提问于2014-02-22得票数 8
今晚,我偶然发现有人在我个人网站的index.html页面底部注入了一堆垃圾链接。我起初以为这是一个脚本,但在进入我的FTP帐户并查看磁盘上的文件之后,链接实际上在HTML中。经过对我的主机帐户的进一步检查,我注意到一些其他的文件不属于我坐在那里。
我懂了。有人想出了我不太安全的密码,修改了我的文件,上传了一些垃圾。我的问题是,为什么?他们有什么收获?有人被这个密码伤害了吗?我已经做了一两个月的僵尸了吗?我没有数据库,甚至没有服务器端代码,所以我没有什么值得偷的东西。
下面是包含黑客代码内容的pastebin链接:
zip.asp
temp37.asp
注入index.html的链接
/scr
浏览 0提问于2014-11-23得票数 1
回答已采纳
在访问基于磁盘的关系数据库系统之前,越来越多地将内存存储应用于各种用例,从大数据分析(Spark)到更快的处理能力(MemSQL)到缓存(Redis),这是一个日益增长的趋势。AWS弹力缓存就是一个例子。我最近听说的一种架构“最佳实践”是首先缓存所有的东西。然后,只对较少使用的(冷)数据进行磁盘访问。
随着利用更多内存存储的这一日益增长的趋势,我还没有看到太多关于保护这些数据存储以及随之而来的潜在相关漏洞的文章。当我问亚马逊( Amazon )是否有可用于Elasticache数据的加密时,他们说没有。
此外,我不确定传统的数据存储安全准则是否适用于受监管机构的基于磁盘的存储。例如,加密res
浏览 0提问于2017-01-16得票数 3
我有点迷路了。我们有一个攻击者将放在我们的服务器上,放到不同的网页文件夹中(这些文件夹是不同的域,只能通过FTP访问)。
现在,我发现攻击者在其中一个文件夹中放置了另一个名为的文件,该文件夹保存了以下图像:
服务器是托管服务器,我已经联系了提供者,等待答复。
我向各位专家提出的问题:
有人听说过“带有内核功绩的黑帽子”吗?(我发现只有一处提到了利用。)
有没有办法阻止攻击者上传他的文件并阻止他呢?
浏览 2提问于2013-07-30得票数 1
回答已采纳
1回答
最近我读到了不同的拒绝服务方法。一种突出的方法是SYN洪水。我是一些不太好的论坛的成员,有人在卖一个python脚本,它会使用带有欺骗IP地址的SYN数据包来DoS服务器。
但是,如果将SYN数据包发送到带有伪造IP地址的服务器,目标服务器将将SYN/ACK数据包返回给被欺骗的主机。在这种情况下,被欺骗的主机不会返回一个RST数据包,从而取消75秒的长等待,并最终失败地尝试DoS服务器?
浏览 0提问于2010-05-14得票数 3
回答已采纳
我想从“星球大战:旧共和国”中获得一些关于我的角色的信息。
有可用的API吗?如果没有,是否有人对他们的协议进行了反向改造,以便我可以通过捕获游戏服务器与我的计算机之间的通信来获取相同的信息?
浏览 0提问于2011-12-19得票数 -2
回答已采纳
4回答
防止客户端应用的逆向工程
、、、、
我有一个由Flash客户端使用的web服务。服务和Flash客户端都是由我生产的(请阅读:我的公司)。Flash客户端通过HTTPS与服务器进行通信。
我们最近看到的问题之一是人们对Flash客户端进行反编译,然后创建自己的客户机来与服务器交互。这不是一个大问题,因为服务器有很多“控件”,但它是令人讨厌的。
我知道Flash混淆,但我的问题有点笼统:假设您分发客户端软件来处理web服务,您将采取什么措施来限制用户篡改客户端软件的风险?
浏览 0提问于2014-02-06得票数 13
1回答
键或散列能触发注入攻击吗?
、、、、
哈希或密钥(无论是有意的还是意外的)会触发注入攻击吗?例如,如果哈希或密钥是以类似于SELECT%0d*%0dFROM%0dWHEREVER的方式生成的,这会导致注入攻击吗?我知道目前的技术和标准,任何体面的保护将保护所有输入,哈希和密钥,因此它几乎肯定不会影响任何系统在现实中。
是的,我被告知这是这类问题的错误地点。是的,我现在知道下次把它放在哪里了。
浏览 9提问于2022-04-17得票数 -1
回答已采纳
它是否禁用CSRF功能,这是slash命令服务器的最佳实践吗?
我想通过一个 (例如,/test )在Django中调用一个API视图函数。
当我使用任何浏览器(所以是GET请求)调用视图函数的URL时,它的工作原理是预期的。
但是,当我在Slack中运行/test时,403_client_error在slack中,Forbidden (CSRF cookie not set)在Django shell中。
我相信这是因为Slack发送一个POST请求,Django需要CSRF令牌来处理任何POST请求。
我的问题是我是否应该禁用这个视图的CSRF检查。会有很大的风险吗?或者有什么解决办法?
浏览 0提问于2018-07-31得票数 0
回答已采纳
新的服务器设置和服务器管理员认为phpinfo太可怕了。我想人们担心的是,黑客可能会以某种方式让phpinfo()从注入的php中运行,并找到所有已安装的扩展、它们的版本等等。但是,作为一个开发人员,了解所有的扩展和它们的版本等都很好。phpinfo是一个真正的威胁吗?还是这只是一种过分热心的预防措施?
浏览 0提问于2012-03-06得票数 6
1回答
在用自动化工具扫描我的网站之后,我得到了这个
📷
这是危险的吗,这是一个弱点还是没有?如果是的话,攻击者能做什么,如何修复呢?
浏览 0提问于2016-04-19得票数 3
回答已采纳
2回答
使用PHP,是否有方法检查web服务器资源是如何被请求的,同时尽量减少伪造和黑客攻击的空间?或者简单地说,如何检查它是否是超链接点击、直接URL、提交HTML表单、编程访问等等?
如果使用的是PHP以外的工具呢?
浏览 3提问于2014-06-24得票数 0
回答已采纳
2回答
作为部署脚本的一部分,我们的windows服务是
停住
未登记
已注册
刚开始
问题是,有时注销需要注销并登录。
什么时候需要这样做,有什么办法可以避免吗?目前,脚本有时会失败,我们不得不手动完成。
浏览 5提问于2012-08-14得票数 0
回答已采纳
让我们以这个CVE为例:http://www.cvedetails.com/cve/CVE-2014-9283/
通过未指定的向量获得管理访问。
什么是未指明的向量?
我在很多简历里见过这个词。
这是否意味着通过未具体说明的因素?(从这个意义上说,他们不想透露太多的细节,这样人们就不能轻易地利用它了?)
PS:这纯粹是为了教育目的。
浏览 0提问于2015-03-04得票数 1
回答已采纳
3回答
我看到是避免XSS攻击的一个很好的解决方案,我在一个SO线程中看到,浏览器忽略输入到文本区的PHP代码,而不是在服务器端执行。我只想知道htmlpurifier是否会完全保护我的网站,以及是否有可能像IE6这样的老浏览器不够聪明,不会忽略这样的PHP代码。这是我第一次做一个复杂的网站,所以我在安全这个话题上小心翼翼……谢谢:)
另外,我使用了带斜杠和nl2br来避免撇号和换行符的格式问题,但是是否还有其他我应该使用的东西来避免意外的显示问题?
浏览 2提问于2011-06-09得票数 0
我有运行wordpress 4.2.3的CentOS Linux 7,在他的新版本中也安装了重力表单插件。
插件使用以下指令在他的上传文件夹中创建了一个htaccess文件:
# BEGIN Gravity Forms
# Disable parsing of PHP for some server configurations. This file may be removed or modified on certain server configurations by using by the gform_upload_root_htaccess_rules filter. Please
浏览 1提问于2015-08-03得票数 0
1回答
在许多不同的产品中,CSRF令牌存储在会话中。
这意味着,如果会话已过期,则下一个表单提交将失败。
示例场景:打开登录表单,如果您还没有登录表单,会话将被隐式创建,并且CSRF令牌将持久化在会话中,并作为表单的隐藏字段放置。
然后等待会话过期(并收集垃圾),然后填写凭据并提交它。
现在,即使凭证是正确的,您也会看到丑陋的"CSRF令牌无效“(或类似的内容)形式的验证错误消息。
所以问题是:是否有一个安全的方法来改善这一流程?
PS:..。除了使用AJAX定期轮询某个端点之外,还可以保持会话的活力。
浏览 0提问于2015-05-10得票数 4
回答已采纳
2回答
我们在Apache服务器上运行了一个Ioncube编码脚本,该服务器将客户机密信息存储在MySQL数据库中。我们已经使用suphp将脚本配置为在自己的帐户下运行。与往常一样,脚本从'config.php‘文件中读取数据库凭据。我们希望减少通过零天漏洞暴露数据库内容的风险。web服务器OS、Apache和MySQL已经增强。我们能做些什么来进一步锁定这个脚本吗。例如,如果有人利用了脚本,我假设他们最终会获得与脚本运行的suphp帐户相同的特权--他们会尝试转储数据库吗?我们是否应该限制对所有mysql二进制文件的访问?
浏览 0提问于2012-05-29得票数 3
在平台上,某人可以建立信任,而不是掠夺/利用信任来获取利润或信息的平台上的漏洞,有什么共同的或公认的名称?它快把我逼疯了,每次我想用它的时候,我都会忘记它,几个月后我就会在报纸上看到它。
浏览 0提问于2018-09-13得票数 5
回答已采纳
1回答
JWT在我的项目中用作用户身份验证。如果有人拦截数据包(使用wireshark等),获取用户的jwt令牌,然后尝试使用jwt令牌(重放攻击)记录请求,我如何使用jwt进行防御?(我的项目使用https)
ps。英语不是我的母语,所以我不擅长,所以请理解这些笨拙的句子。
浏览 7提问于2022-09-16得票数 0
5回答
考虑和客户端服务器场景,您有两个选项:
您可以在客户端中包含服务器的公钥并执行交换。
您可以使用Diffie算法握手,然后交换密钥。
哪种方法更安全?另外,如果公钥将来自商店,比如说来自客户CA商店?它会比在客户端应用程序中绑定更安全吗?
部署将通过安装程序完成,并在每次运行时验证版本。
浏览 2提问于2009-06-23得票数 0
回答已采纳
社会工程攻击不就意味着攻击吗?在我看来,它们似乎很相似,因为它们都注重人类,而不是技术。简而言之,社会工程攻击和APT攻击有什么区别?
浏览 0提问于2016-07-01得票数 -5
1回答
作为一种保护
、、
在我的网络中存在持续攻击的情况下,攻击者正在使用WLAN访问我的网络,而我认出了它,是否可以在我的网络中发送广播信号以暂时停止攻击(作为“蛮力解决方案”)?
黑客是否有可能保护自己免受deauth包的攻击(假设他无法更改路由器设置)?
浏览 0提问于2017-02-18得票数 2
回答已采纳
1回答
我希望在一个数据中心主持一个网络应用程序,我正在考虑一些选择。他们似乎都有信誉,并声称提供反DDoS保护。
如果几乎每一家主机提供商都提供反DDoS保护,这是否意味着( a) DDoS攻击的威胁较小,因为反DDoS技术已经赶上,或者( b)这些说法中有许多不像广告中所宣称的那样可靠,如果是的话,我如何判断一家网络托管公司是否真的受到了DDoS的保护?
谢谢。
浏览 0提问于2017-02-11得票数 3
回答已采纳
2回答
Lucky13是对CBC MAC然后加密密匙中的MAC的定时攻击.在攻击页面中:
这些攻击包括检测TLS错误消息在网络上出现的时间上的微小差异,以响应攻击者生成的密文。
我的问题是:被动对手能执行Lucky13吗?换句话说,我需要知道Lucky13攻击者的模型是主动的MitM还是被动的网络攻击者,他们只是收集流量,然后进行分析?
浏览 0提问于2018-10-27得票数 2
回答已采纳
我有一个运行Debian的服务器,它在web上运行,并且流量很少(我基本上使用它来做一些库仑、日历等等)。为了保护它的访问安全,我在ssh配置中做了以下操作:
只使用SSH键登录,
不允许根目录登录。
然后,我作为我的主要用户(实际上也是唯一的用户)登录,并在必要的管理操作时使用su切换到root。
在浏览网站时,我发现用户的sudo权限是首选的选择。但其主要的共同论点是,行政权力的分享。这对我来说不是问题。我可以看到以下内容
su > sudo:需要两个密码:以用户身份进入的ssh-键,然后是根密码。所以某种形式的双重保护。
sudo > su:如果sudo是用NOPASSWD设
浏览 0提问于2015-12-02得票数 4
1回答
HTTPS的替代方案
、、、
当被要求对我公司的网站进行身份验证时,我最终使用了htaccess和htpasswd。现在,我被要求寻找一个更安全的解决方案。有人建议我注意的一个场景是嗅探。我环顾四周,发现HTTPS似乎就是我正在寻找的解决方案。
如果身份验证仅供我们的员工访问,并将允许他们访问数据库。此数据库上的活动应该非常少。我的印象就是说...每个会话5个查询,并且检索到的数据也是轻量级的。
根据我所读到的,看起来HTTPS是我应该在这里下注的。我在身份验证和加密方面的知识几乎为零,所以我想知道是否有任何其他选择来为我们的网站进行安全身份验证。
浏览 2提问于2012-08-13得票数 1
回答已采纳
我计划将我的网站和API迁移到亚马逊上的EC2。如果我的EC2 instances中有一个是DDoS的,那么我能不能terminate instance,然后启动一个新的instance并将我的CloudFlare DNS记录更新到新的EC2 instance's IP中,这一切都是为了减轻DDoS攻击吗?我有一个AMI为我的网站和API创建从一个EC2 instance,所以我可以很容易地启动新的instance's,并使新的服务器准备在5分钟左右。亚马逊会允许这样做吗?
浏览 0提问于2019-01-12得票数 1
回答已采纳
1回答
有人想黑我的服务器吗?
、、、
我是一个网络安全专业的学生,不定期做服务器事务,我只是想知道如何检查SSH登录日志,发现它可以使用sudo cat /var/log/auth.log进行检查,并且可以在我的服务器上进行检查,并且有很多Failed password for root from [IP] --这是一个新安装的远程服务器--我不可能登录这么多次。
然后我仔细读了一遍,上面写着Failed password for root from [IP],我是什么样的人?是给root的吗?我已经创建了独立的用户帐户,除了第一次必须创建新的用户帐户外,我从未接触过root用户。在我看来,有人在用蛮横的手段来考验他的运气。不过,
浏览 0提问于2020-01-09得票数 1
回答已采纳
1回答
在与我的VPN提供商进行支持对话期间,我明确地问:“是否不可能过滤掉单个VPN用户,因为您的in正在被许多人使用?”答案是肯定的,这是不可能的。
不过,我不相信。在这种情况下,必须有一种方法过滤掉滥用VPN的用户,即使很多人使用相同的IP。有人知道可行的方法吗?
注意: DNS泄漏,WebRTC等是经过测试和安全的。
浏览 0提问于2015-06-04得票数 1
当然,这并不是说我不能访问javascript。在我的大多数CS Web开发课程中,我们学到了一些关于服务器端验证的知识,然后一旦引入javascript,服务器端验证就被抛到了窗外。
我选择不只是依赖javascript,因为客户端从来都不是一个安全的地方。我已经养成了为这类事情同时编写客户端和服务器端代码的习惯。但是,对于我正在编写的具有可选AJAX的web应用程序,如果有人关闭了javascript,我不希望密码通过网络发送明文。
我意识到我可能是在问一个进退两难的情况,所以让我问一下这个问题:当我们只能依靠服务器端脚本时,我们如何知道我们的用户密码是否安全(足够),不会被同一网络上的恶
浏览 0提问于2010-02-24得票数 5
回答已采纳
根据标题,除了蛮力之外,是否只有一个明文块对Threefish-512有任何攻击?在其他密码里有这样的攻击吗?
浏览 0提问于2012-07-17得票数 1
回答已采纳
1回答
突然,应用程序不再能够输出ZIP文件。一次检查发现了原因:第一个字符的ZIP是一个空白的,这打破了ZIP格式规范。
为了跟踪这个问题,我启用了CStatementTracer,它将执行的每一行代码打印到一个日志文件中。帮不上忙。备注:声明(ticks=1);似乎没有捕获每一行已执行的代码
然后设置输出处理程序,如下所示:
function callback( $buffer ) {
$deb = print_r( debug_backtrace(), TRUE );
file_put_contents( './statementTrager.log', $d
浏览 3提问于2017-09-22得票数 1
回答已采纳
我很抱歉,因为我的问题在措辞上有困难,但请耐心等待,我会尽力做到尽可能精确。不过,我的问题有点含糊不清,很难提出。
最近,我与我的一位同事讨论了通过PHP从RESTful API发送回响应的问题。我们的不同之处在于我们与服务器的响应不同。
他的论点是只使用json_encode原始对象(它是来自数据库表的一行数据的PHP表示)。但是,我发现有问题的地方是,例如,您只需要发送几列数据。
例如,假设您正在返回一个对象,您所需要的只是表中的主键、描述和名称。但是,该对象还具有其他用途(var1、var2等)的属性。如果像这样回响:
echo(json_encode($object));
JSON看起
浏览 3提问于2014-12-30得票数 4
回答已采纳
有各种http报头字段,它们为攻击者提供了一些线索。我想知道报头字段'X-Runtime',如果出现在响应报头中,它会给攻击者提供任何线索吗?我在一些地方读到,该字段可用于DOS攻击,但不清楚如何将其用于DOS攻击。如果我在这个论坛上得到一个线索,那就太好了。
浏览 0提问于2016-07-26得票数 1
4回答
PHP表单引用程序安全性
、、、
可能重复:
今天我正在浏览这些论坛,但是我找不到足够好的答案来回答我的问题。
如何阻止表单提交到我的服务器,除非它们是来自我的域的引用的。我意识到,如果有人直接复制我的表单HTML并将其粘贴到他们自己的平台上,来自表单的数据将解析我的文件,并在我的站点上执行表单设置的操作。
我怎样才能防止这种情况发生呢?我正在考虑检查推荐人是否来自我的领域,但从我所做的研究来看,这并不能阻止这种情况的发生。那我怎么才能阻止这一切发生呢?
浏览 1提问于2012-03-05得票数 1
在HTTP参数污染中,我知道它是如何工作的;您使用相同的名称注入多个HTTP参数来触发服务器中的错误,但我不知道如何利用这个漏洞。
当我使用这种技术发送一些请求时--例如,我知道服务器使用的是最后一次出现的参数--这种技术是如何有用的,因为无论服务器使用的是最后一次发生,所以其他事件都不重要,对吗?或者当服务器以相同的名称连接参数时,一些服务器脚本将获得连接结果。
浏览 0提问于2019-11-18得票数 3
2回答
python套接字连接安全吗?
、、、、
我已经构建了一个python脚本,它使用python套接字在我的python应用程序和我的python服务器之间建立了一个连接。我对两个系统之间发送的数据进行了加密。我想知道我是否应该考虑其他与防黑客安全有关的事情。他们能做些可能从我的电脑里窃取数据的事情吗。
提前感谢你的努力。
我对两个系统之间发送的数据进行了加密。
浏览 10提问于2022-11-15得票数 1
回答已采纳
1回答
当我运行我的网站,有时运行没有错误,有时这个例外协议。有什么问题吗?
Microsoft JScript运行时错误: Sys.WebForms.PageRequestManagerServerErrorException:无效回发或回调参数。事件验证是在配置中启用的,或者在页面中使用<%@ page EnableEventValidation="true“%>。出于安全考虑,此功能验证回发或回调事件的参数是否来自最初呈现它们的服务器控件。如果数据是有效和预期的,则使用ClientScriptManager.RegisterForEventValidation方法来注册回发
浏览 4提问于2012-01-25得票数 0
回答已采纳
2回答
从Java程序存储/读取敏感数据
、、、、
我正在开发一个程序,它需要将数据持久地存储在机器上的某个位置,这样当我关闭程序时,数据就不会消失。数据是我不能散列的东西,因为程序需要检索它的值。
这个数据库需要非常安全,这样只有程序本身才能访问这个存储,而不是其他任何东西。
现在,在我看来,SQL非常不安全,如果您可以访问其中包含的每个数据库,那么唯一的方法就是加密我插入的一些数据,但这会导致存储另一个密钥。
这是我需要存储的结构:
FileName | Key | GroupOwner
----------|---------------------|-----------
foo.txt | $iv
浏览 6提问于2017-03-03得票数 1
回答已采纳
1回答
我正在构建一个使用密码加密/解密文本的网站。我将密码的bcrypt散列存储在数据库中,并在解密之前检查密码是否正确。
我希望这个网站也能离线工作,我唯一能想到的方法就是localStorage。
在本地存储密码散列之前,我应该考虑哪些安全因素?
浏览 11提问于2022-09-01得票数 0
回答已采纳
假设文件linux.words被用作"book“。这是一个公开的名单,仅仅是五十万字。假设这本书的使用,不是按它的本地字母顺序,而是以一些随机的顺序。可能的随机排列数是小数,小数数超过200万小数位长。密码文本将是一个数字流,索引到所选的随机排列的“书”。这种方法是否有助于改进图书密码?
浏览 0提问于2020-03-09得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
腾讯会议活动推荐
腾讯云开发者
