能否从单个客户端执行缓慢的Post HTTP攻击?
以下来源引用了这一行:https://medium.com/fantageek/understanding-socket-and-port-in-tcp-2213dc2e9b0c
端口为16位数,因此任何给定客户端与任何给定主机端口的最大连接数为64K。
但从最高峰开始。服务器可以处理的连接数量通常比上述限制要大得多(大约300 K,但可伸缩),我假设慢Post HTTP攻击只能作为DDoS攻击(使用一个以上的客户端)。
但是我也可以看到关于缓慢的Post HTTP攻击的描述是DoS攻击。就像。https://blog.qualys.com/
浏览 0提问于2020-07-17得票数 0
2回答
假设有客户机-服务器机器。
在客户端机器上,我们生成了一个Server,并在服务器机器上存储了相同的密钥。
这意味着,当客户端使用SSH连接服务器时,它将不需要密码。
如果客户端机器遭到黑客攻击,那么服务器机器就容易受到所有攻击?
浏览 0提问于2017-07-12得票数 0
1回答
我最近一直在阅读崩溃和幽灵错误,以及它们给虚拟化服务器带来的问题,因为一个VM中的内存可能会被另一个在同一个主机上的VM中的用户访问。
我在DigitalOcean (这里)上找到了这篇文章,他们讨论了如何确保向服务器应用新的内核补丁,以帮助减轻bug的影响。在评论中,我看到人们谈论这样保护他们的服务器水滴(DigitalOcean的VPSs品牌),这就是我感到困惑的地方。当然,在其VM上应用的任何安全更新都不会影响在旧操作系统更新上的另一个VM中错误的执行?当同一台主机上的攻击者在操作系统的旧版本上时,他们就不能很好地利用这些bug,因为它们是执行所需代码的,而不是他们试图从其中检索内存的更
浏览 0提问于2021-09-27得票数 1
回答已采纳
1回答
如何防止对服务器的自动请求?
、、、、
如何防止自动请求?这不是重复的问题。现有的答案是不会妥协的。
如果攻击者使用的程序每分钟发出一百万次请求,该怎么办?或者程序可以使用各种代理或vpn,并且可以向服务器请求数百万个请求。由于负载过重,服务器会变慢。如何防止这种情况发生?
IP表每秒能处理数百万次请求吗?
浏览 17提问于2020-06-04得票数 0
我问过一个关于IT安全StackExchange的问题如何防范DoS攻击。其中一个答案是安装Fail2Ban。
我与管理服务器的人员进行了交谈,他们告诉我,默认情况下安装Fail2ban是为了监视失败的SSH登录尝试。他们问我是否想让它看服务器上的其他服务。
Fail2ban应该监视哪些服务来防止DoS攻击?
这仅仅是HTTP服务-在x时间内监视来自同一个IP的多个请求吗?
其中一次攻击似乎使用命令MySQL创建了与sleep数据库的大量连接。
浏览 0提问于2012-02-20得票数 3
回答已采纳
3回答
我有一个网页应用开发的背景,我试图提高我的安全游戏,但有一些事情,我发现混淆。
就像记忆硬散列密码是如何防止暴力攻击的?让我们假设我有一个webapp,它使用Argon2i哈希密码。据我理解,这很棒,因为它占用了大量的计算能力,而且“慢”。这是我迷路的地方。它是如何在引擎盖下工作的?谁在做计算工作?
当我试图想象它是如何工作的,这就是我想出来的。这仍然给我留下了很多问题,而且很可能是完全错误的:
用户密码被散列并存储。
黑客决定用暴力强迫一个帐户。
由于使用了内存硬散列,服务器需要很长时间来验证密码,因此需要花费太多的时间才能访问帐户。
基于上面列出的假设,我只能得出结论,计算工作发生在服务器
浏览 0提问于2020-08-24得票数 1
回答已采纳
1回答
在Rails中,如果CSRF检查失败,那么用户的当前会话将被清除,即注销用户,因为服务器假定它是攻击(这是正确/期望的行为)。但是请求已经完成,因此用户记录仍然被创建。然后黑客可以正确登录。一旦设计意识到auth_token是错误的,我如何阻止该方法继续进行?
浏览 0提问于2014-06-10得票数 0
回答已采纳
我有一个主机服务器运行星号PBX,其规格如下: Debian 9 x86 64位Linux、2GB RAM、2TB带宽和20 GB SSD存储。
近一天来,服务器似乎“离线”。我不能使用FileZilla (SFTP)进入或连接到它。然而,我得到的是正常的ping回复:
Pinging domain.com [IP.AD.DR.ESS] with 32 bytes of data:
Reply from IP.AD.DR.ESS: bytes=32 time=28ms TTL=51
Reply from IP.AD.DR.ESS: bytes=32 time=30ms TTL=51
Reply
浏览 0提问于2018-12-19得票数 0
回答已采纳
2回答
我有一个学校项目,在那里我应该实现一个基于Kerberos的基础设施(AS、TGS和资源服务器)。它已经完成并在工作,但我开始考虑如何保护身份验证服务器免受DDOS攻击,虽然这不是项目要求,但我非常好奇应该如何做。身份验证服务器接收用户名和密码以对用户进行身份验证,应该实现哪些对策来避免攻击?
谢谢。
浏览 0提问于2014-04-22得票数 1
3回答
在这里,XSS攻击被视为来自客户端机器的攻击。但是有没有办法在服务器上进行XSS攻击呢?
我想知道是否有任何方法可以像SQL注入那样使用客户端接口在服务器上执行代码,但这里不是数据库服务器,而是一个简单的Web服务器或应用程序服务器。
浏览 0提问于2013-05-09得票数 1
我正在做一个简单的空闲游戏,HTML5 client和Node.js服务器,但我正在使它在线,在那里客户端与服务器(websockets)对话,所有的逻辑都在服务器中(我希望尽可能防止欺骗,因为我想要领头板)。
我的想法是,当玩家X攻击暴民Y,它点击10 (应该获得10 X),所以我通过websocket发送它,“playerX\10”。我如何验证输入,这样一个骗子就不能只发送“playerX\100000000”。
我该怎么处理暴民的死亡?我是否发送了一个"playerX,mobY“,然后服务器立即回复呢?
我是不是太担心安全了?金科玉律是永远不信任客户,而是如何信任客户?
我在想,
浏览 0提问于2018-08-19得票数 0
回答已采纳
1回答
源ip地址可以被欺骗。而且,由于IPv6的存在,仅保留一个被排除在访问网站之外的ip地址的查找表是不够的,因为使用ipv6,现在有足够的ip地址供单个发件人在send服务器上发送探测请求的五分位数。
考虑到这一点,哪些新的方法可以缓解web服务器的IP转发DDOS探测?
是白名单个人注册用户ip地址和____的唯一解决方案吗?
浏览 0提问于2021-03-02得票数 1
1回答
假设客户端和服务器正在使用SSL2.0,它支持DES加密套件。另外,假设服务器的RSA密钥是不可分解的。在SSL2.0中,客户端选择主秘密并使用服务器的公钥对其进行加密。如果客户端和服务器同意使用DES的破密文套件。MITM如何利用弱对称密钥(DES)?在我看来,除非服务器的公钥被考虑在内,否则MITM什么也做不了。专家能向我详细说明或澄清吗?
浏览 0提问于2017-01-01得票数 1
回答已采纳
我正在构建一个桌面应用程序,它连接到web服务器并通过基于套接字的API进行通信。我想确保我只和我的应用程序交谈,而不是任何第三方黑客。通信是通过https加密的。此外,还使用私有/公钥对进行身份验证。基本上,时间、私钥和公钥被混合在一起,用当前时间发送到服务器,公钥发送到服务器。
我担心,如果其他人反向工程应用程序,他们会发现哈希函数,连接url和私钥,因为字符串通常存储在编译后的应用程序中的明文中。
我有两个想法来缓解这个问题:
创建一个函数,使用一系列数学操作生成特定于应用程序的私钥。
创建一个复杂的(长)秘密,然后将该秘密的一些模块发送到服务器(比如Diffie-Hellman
浏览 1提问于2014-02-25得票数 0
4回答
jsp-窗体的字段验证
、、、、
我有一个jsp表单,字段名为Description。此字段声明如下
<input type="text" name="description">
此值用于组合SQL查询:
从描述'% (字段中的值)%‘的引擎中选择*
当用户输入字母数字字符时,它可以正常工作,但当用户输入特殊字符(如单引号:' )时,则会失败。
我的问题:
我如何在服务器端处理这个问题?
如果有必要在JavaScript上实现,那么需要过滤掉哪些字符?
谢谢。
浏览 9提问于2012-04-26得票数 0
2回答
可能重复: 我的服务器被黑客入侵
我们有一个远程Linux (Debian)服务器,它显然被用作一个平台来提交DoS攻击。托管服务器的公司已经警告我们,我们有大量来自该服务器的传出流量。
我想知道的是:我如何追踪,并最终杀死造成这么多流量的过程?
我以前也玩过这样的游戏,但那是很久以前的事了,我记得我用“lsof”来跟踪这个过程。然而,lsof并没有安装在这个服务器上,而且我以前从未在Linux上安装过任何东西,所以我真的不知道如何安装它。
我希望就此事提供任何建议或指导,但主要问题是如何跟踪恶意进程?
浏览 0提问于2011-10-05得票数 2
回答已采纳
如果根据PHP文档,$_SERVER['HTTP_REFERER']不能被信任,你如何确定帖子来自我们自己的服务器?会话是唯一的方法吗?
浏览 2提问于2010-08-13得票数 1
回答已采纳
我有一个基于Django的web应用程序,托管在Azure提供的虚拟机(Ubuntu )上。我的应用程序最近经历了一次DDoS攻击,我们对它无能为力。
问题是,一旦流量到达服务器--即使它在防火墙上被阻塞,或者在我的even服务器中被切断--流量已经在消耗我的网络带宽。那事我使不上劲。这需要阻止“上游”,在路由设备服务我的服务器。
有什么DDoS保护Azure可以提供给我吗?或者至少,就如何部署我的应用程序提出建议,这样它才能更好地抵抗这些攻击?请给我建议。
浏览 2提问于2017-04-02得票数 0
回答已采纳
1回答
我需要为我的应用程序创建许可服务器。应用程序应该使用ping许可服务器,如果许可证过期,则停止工作。应该如何稳妥地做到这一点?我还没找到任何关于这方面的文章。更确切地说,让我困惑的是如何防止攻击者执行以下操作
看看我在哪里提出要求(例如用小提琴)
创建自己的服务器
使用etc/host文件将他的PC指向服务器。
这方面有什么最佳做法吗?
浏览 4提问于2015-11-25得票数 0
回答已采纳
我使用来更好地理解OpenID连接流,它可以这样说来验证state参数:
用户被重定向回客户机,您将注意到URL中有一些额外的查询参数:
?state=7ymOWcwttpCfDNcs&code=Tav2TPBjSNvR8aowA3oe
由于攻击者可以创建类似于此的GET请求,因此攻击者可以向您的应用程序提供垃圾授权代码。您需要首先验证state参数是否与此用户会话匹配,以确保您启动了请求,并且只发送了为您的客户端准备的授权代码。
基于这一解释,我们使用状态参数防止的唯一“攻击”似乎是攻击者发送我们的应用程序错误代码,我们根据授权服务器检查坏代码,然后被拒绝。
但是afaict
浏览 0提问于2018-09-22得票数 1
回答已采纳
我目前正在学习为我正在做的事情制作DRF。我想知道如何保护我通过客户端发送的API POST请求的安全?
例如,假设我有一个登录表单,用户可以在其中输入他们的信息,这些信息需要发送到(或发布到)我的API以进行验证。我不希望任何人向服务器发送请求,因此,我希望使用API密钥,但由于这是在网站上完成的,任何人如果愿意,都可以看到API密钥,然后通过发送大量请求来利用服务器。
我目前的想法是在DRF中使用序列化来检查about请求是否有它所需的所有内容,但我相当肯定,通过检查我的代码发送给服务器的JSON类型,可以很容易地找到它,那么我如何才能保护这个JSON,这样我就可以将信息发送到裸域(比如)
浏览 1提问于2021-01-10得票数 1
回答已采纳
1回答
我有一个带有Apache的use服务器,它为特定的vhost配置为在它的文件夹中使用特定的用户名。现在,这个用户是文件的所有者,但是在所讨论的文件夹中没有写权限,但是昨天,站点被破坏了,两个具有写权限的文件刚刚出现在文件夹中。
我的问题是:怎么做?
我知道,如果一个网站被破坏,很多事情可能会发生,但该网站仍然运行在该用户名的上下文中,它根本没有权限将任何文件写入该文件夹。还是我不正确地理解权限?
浏览 0提问于2013-08-23得票数 0
首先,我要说我不是sysadmin,也不是服务器上的知识,我只是一个开发人员,负责为我正在开发的SaaS应用程序设置基础设施,所以请原谅我没有完全理解所有的东西。我在这方面做了很多研究,但仍然需要一些指导。
我正在考虑在Laravel应用程序中使用DigitalOcean液滴。将有3个液滴,2个作为网站/服务器,而第三个被用作负载平衡器,所有这些将设置使用Laravel。将有一个数字海洋管理数据库,这两个服务器将连接到,以及使用数字海洋空间的资产交付通过他们的CDN。
Cloudflare将用于DDoS保护,但我想知道如何设置它,我想它最好放在负载均衡器上,因为这是查看/连接到站点时链中的第一
浏览 0提问于2020-02-25得票数 2
回答已采纳
1回答
我在node js中构建了一个API服务器,它应该可以在高负载下工作。我基本上是想将传入的insert请求分成小批(每个大约10个项)进行累积,一旦一个批被填充,就将这些项插入到数据库中。目前,我正在使用Amazon SQS作为我的队列服务,以及我设计的一个单独的队列使用者应用程序。但是,我想也许我可以在本地累积消息,然后直接从API插入批处理。这将消除与远程队列服务通信的开销,并且由于批处理很小,API服务器的内存不会膨胀。你认为如何?赞成与反对?
浏览 22提问于2016-08-04得票数 0
我尝试使用Hack Bar在网站上执行SQL注入。服务器没有响应SQL错误。
我还尝试使用sqlmap:
sqlmap -u http://website/login.php?op=login --dbs
sqlmap -u http://website/login.php?id=1 --dbs
[10:06:33] [CRITICAL] all tested parameters appear to be not injectable.
所以我的问题是:即使web服务器没有显示任何错误,也可以得到SQL注入吗?
浏览 0提问于2016-11-02得票数 2
回答已采纳
我理解Oauth代码流,它涉及移动应用程序、应用服务器、auth服务器、资源服务器。应用服务器使用客户端和机密向auth服务器注册。其想法是,移动应用程序调用应用服务器的端点,该端点触发代码流,最终导致使用auth代码从auth服务器回调到应用服务器。应用服务器向auth服务器提供秘密和代码,以获取访问令牌。
另一个没有客户端和秘密的遗留选项是隐式流,其中移动应用程序接收带有auth代码的重定向url (假设重定向url目的地是SPA),它将调用auth服务器端点来获取访问令牌。
这是不安全的,因为任何人都可以从url窃取访问代码。
对于像移动应用程序这样的客户端来说,解决这个问题的方法是使用
浏览 7提问于2022-02-06得票数 1
回答已采纳
1回答
我想开始学习如何管理自己的服务器,并将cPanel / WHM抛在脑后。我刚买了一个运行Ubunutu的VPS (Linode)。我要去他主持多个网站,在那里,在一个灯堆栈。
无论如何,我的问题是,是否应该为每个网站创建一个新用户并将文件存储在每个站点下,还是创建一个“站点”用户并将所有站点文件存储在该用户之下?
谢谢。
浏览 0提问于2013-02-16得票数 0
1回答
私用RSA密钥的集中存储
、、、、
我从事多用户项目,用户可以在其中共享数据。用户上传到服务器的数据将在客户端携带对称密码之前被加密,然后将对称密钥用公共RSA算法加密给用户(基本的PGP)。通过这种方式,我可以保证未经授权的用户不会访问数据,即使他们能够获得对服务器的根访问。
问题是我应该如何处理私密的RSA密钥。通过使用公钥加密技术,用户非常容易被锁定在包含私钥的设备上。但假设用户希望在智能手机、笔记本电脑和台式机之间切换。在我将私钥上传到中央服务器之前,用对称密码加密私钥并使用PBKDF2迭代密码是否安全?
还是有更好的方法在多个设备之间共享私钥?
浏览 0提问于2017-02-24得票数 4
我将机密数据存储在mysql数据库中,该数据库由运行在同一个物理盒上的web服务器提供。如果我将这两个服务器分开(甚至在两者之间设置一个防火墙),那么如果web服务器被破坏了,我是如何使访问mysql数据库更加困难的呢?web应用程序将连接字符串存储在纯文本配置文件中。黑客所要做的就是使用这些凭据连接到数据库服务器,DB服务器无法知道这不是授权客户端。
浏览 0提问于2010-06-26得票数 2
回答已采纳
1回答
请原谅我的术语失误。
最近,我试图通过SFTP连接到服务器。SSH公钥响应与我所期望的不同,与信息页面相差1字节。
无论如何,我都很想继续联系,假设这一定是个错误。但我没有,而是联系了系统管理员。原来这是个错误,从“心出血”开始就一直存在,而且我是第一个注意到它的人。
如果我已经进行了连接,实际的风险是什么?我想我明白,我可能连接到攻击者的服务器,而不是我想要连接的服务器,但这引发了两个问题:
当然与我没有任何关系,所以“唯一”的风险是我上传了一些东西或者输入了一些凭据,认为这是正确的服务器,但我不希望攻击者拥有?也就是说,我的机器上的个人文件没有风险,当我与服务器断开连接时,风险就结束了?
浏览 0提问于2014-09-26得票数 0
回答已采纳
1回答
可能重复: 我的服务器被黑客入侵
我的Linux (CentOS 5.x)机器似乎受到了攻击。港口扫描活动被追踪到它。然而,扫描的端口只有8080个。作为一项临时措施,我已经更新了iptables规则,将所有出站流量从机器删除到端口8080。
然而,1.我想确定我的机器是否确实被损坏了。2.如果是真正的端口扫描,它是否仅限于一个端口8080? 3.最重要的是,如果机器感染了一些恶意软件,导致端口扫描,请我如何使它再次干净。
谢谢
浏览 0提问于2012-04-17得票数 0
2回答
显而易见的答案是哈希。我正在考虑使用SHA512来散列一个咸密码。
我的问题是:我应该在哪里哈希密码?
我想过两种方法:
(1)我在应用程序中散列它。这意味着哈希将被传输到服务器。然后,服务器根据存储的哈希检查它,如果哈希匹配,则登录用户。
(2)我在服务器上散列它。哈希以相同的方式检查。
我的问题是,我觉得密码可能会被截获。在(1)中,哈希可以通过中间人攻击来提取.攻击者现在可以简单地使用该哈希来访问用户的信息。
在(2)中,攻击者可以拦截纯文本密码,并使用该密码访问用户的帐户。
我需要解决的是双方的问题吗?在客户端使用salt进行散列,然后在服务器端再次散列?
我不知道该如何进行。我不希望
浏览 3提问于2015-04-21得票数 5
回答已采纳
1回答
跟进中概述的设计,特别是中列出的问题:缓解措施是什么?
具体来说,我有一个web服务器,它公开了一个由移动应用程序使用的REST。我希望用户能够使用Facebook认证服务器(通过应用程序)。
现在,一个明显常见的流程是,应用程序将用户重定向到Facebook,在那里他们将使用自己的凭证登录。然后,应用程序将获得一个令牌,并将其发送到服务器,服务器将使用图形API验证令牌。
但是,服务器如何确保令牌真的来自应用程序呢?具体来说,如何防止恶意应用供应商重用我的应用程序ID?毕竟,应用ID被硬编码到应用程序中,因此可以被恶意应用程序提取和使用。如果用户使用Facebook登录恶意应用程序,那么恶意
浏览 1提问于2017-04-09得票数 0
回答已采纳
我正在研究ddos攻击以获得更好的理解。我从这个社区读了很多书,但是有一件事我无法理解,那就是丢包。
因此,假设我已经识别了一个攻击签名,并希望丢弃这些数据包。
攻击者-------------跳----------跳-------跳------我的服务器
在那个阶段,如果包是由我配置的,那么丢包,而不是意外的丢包。
如果它们被丢弃在我的服务器上,这有什么帮助,因为数据包已经到达,因此占用了带宽。还是说丢包只是一种避免发送应答的技术,因此攻击者必须等待超时?
浏览 0提问于2015-07-24得票数 6
1回答
目标
通过HTTP请求验证客户端。
验证客户端的WebSocket连接。
防止利用WebSocket连接(当网站上存在XSS漏洞时)。
我是怎么做的
步骤1客户端通过发出常规HTTP请求访问网站。Cookie用于验证客户端和服务器响应的JS snippet +AuthToken(生成和保存在服务器上):
(function() {
var ws = new WebSocket("wss://localhost:1000");
// application logic goes here
})();
步骤2服务器将新创建的WebSocket连接标记为不安全/未知。
浏览 0提问于2021-08-15得票数 0
回答已采纳
1回答
在kerberoasting中,用户请求任何已注册SPN服务的服务票,然后使用该票证破解服务密码。但是在kerberoses认证过程中,KRB_TGS_REQ请求被KDC(票据授予服务器)持有的TGS密钥加密。
我希望到目前为止我是对的。
问题-攻击者如何将KRB_TGS_REQ请求发送到KDC(票证授予服务器)。
1-如果没有加密,为什么KDC(票证授予服务器)会因为未加密而返回服务票证
2-如果是的话,它是加密的,那么它是如何加密的,是用哪个密钥加密的。
3-他是否从一开始就执行整个kerberos身份验证过程,如果是,那么为什么他需要提取服务密码,因为当身份验证完成时,他将访问该服务。
浏览 0提问于2022-04-07得票数 0
2回答
我有一个旧的Delphi应用程序。此应用程序从服务器获取会话密钥,使用此密钥执行一些秘密操作,如散列等,并将密码发送回服务器。服务器知道如何从这个密码中检索数据。因此,简单地说,它是通过模糊性实现的安全性。
我想使用C#重写此应用程序,然后使用混淆软件隐藏创建秘密数据的过程。
C#模糊处理的应用程序会比没有模糊处理的二进制的Delphi应用程序更安全吗?破解Delphi代码还会更难吗?
注意:我非常清楚,通过模糊来实现安全性并不是真正的安全。
浏览 4提问于2010-11-04得票数 4
回答已采纳
2回答
使用PHP,是否有方法检查web服务器资源是如何被请求的,同时尽量减少伪造和黑客攻击的空间?或者简单地说,如何检查它是否是超链接点击、直接URL、提交HTML表单、编程访问等等?
如果使用的是PHP以外的工具呢?
浏览 3提问于2014-06-24得票数 0
回答已采纳
2回答
我一直在玩Varnish服务器,我的网页很快就被打开了,它在谷歌的Pagespeed和100 @Pingdom中获得了97分。我使用了Varnish (代理nginx),NGINX (只有本地可用的代理,代理*.php到PHP (但我想转到HipHop proxies ))。
因此,由于我的页面速度很快,并且只使用了大约500/1GB的Ram,所以我让我的一个朋友在这台机器的HTTP服务器上执行压力测试。我配置了以下反DDoS机制:
iptables防火墙限制连接/秒
一些更多的iptables检查(会话以SYN、ICMP等开头)
清漆缓存
重新编码小网页,以存储一些值,这些值通常会在备用ph
浏览 0提问于2012-05-01得票数 1
我正在开发一个服务器应用程序,它将有相当数量的客户端设备访问它。问题是我们不能保证客户端设备总是可以访问服务器。设备完全有可能脱离网络一周或更长时间。与此同时,我们仍然希望设备以自主方式工作,并复制必要的内容(连接到网络时自动更新)。
当然,这也导致了一些与用户身份验证相关的安全问题。我们计划让设备拥有用户列表的副本。我们正在考虑如何在设备上保护身份验证。显然,我们不能在更新包中以纯文本形式发送密码。
主服务器上的密码被加盐和散列,我们正在考虑使用某种散列(SHA1 ?),用于客户端设备可用的列表。
然而,通过这样做,我们正在降低对设备的攻击门槛(无盐)。
您是否有任何建议,可以提供一种有效的
浏览 0提问于2010-08-23得票数 1
回答已采纳
想象一下情况:
应用程序可能通过SSL/TLS运行,也可能不运行
应用程序不应该知道客户端的密码,因为客户端可能重用密码。
那么,合并客户端和服务器端密码哈希不是最好的吗?
如何创建密码:
用户在字段中输入密码。
本地端javascript哈希密码,并提供salt用户名。
该散列数据通过网络传输到服务器。
服务器将随机生成的salt添加到哈希中,并将两者重新散列到一个新哈希中。这个新的散列和服务器端随机盐被存储。
登录将如何工作:
用户在字段中输入密码。
“登录”字段的值作为salt,本地端javascript计算散列。
此哈希通过网络传输到服务器。
服务器获取存储给该用户的salt,将散列和
浏览 0提问于2015-06-16得票数 1
我最近发现我的网站有一个带有SQL注入漏洞的页面。在测试时,它很容易被像sqlmap这样的隐藏工具所利用。如何确定是否使用SQL注入攻击访问了站点数据库,可能是利用了这个漏洞?服务器正在运行Apache2.4.18和MySQL Ver 14.14远程5.7.16。
浏览 0提问于2017-06-04得票数 1
1回答
我面临着某种"MitM“攻击类型,我真的不知道如何搜索,因为我不知道它叫什么,所以我在黑暗中,需要一些帮助和建议。
假设有一个购物网站:shop.com客户登录后,可以浏览商品,把它们放到购物车里,最后,他们可以结账,在那里他们被重定向到支付处理器,例如: paypal。该网站本身不处理任何付款或信用卡,它重定向到一个安全的网站。
有人伪造网站:fake-shop.com
当客户访问这个假网站时,它会调用原始的shop.com并向客户显示结果,但也会向其注入javascript代码。
假服务器不关心客户数据,他们什么都不拿,它只是通过假服务器,它基本上是一个代理服务器,在客户和真正的服
浏览 0提问于2022-11-21得票数 1
回答已采纳
我们有铬的扩展,这是我们的客户内部使用。它是通过企业政策强制安装的。到目前为止,我们已经在Chrome WebStore上发布了它,但是由于V3的限制,我们需要把它移开,并把它放在我们自己的服务器上。我们应该意识到什么是安全问题,如何防范呢?我们怎样才能防止另一种恶意扩展被下载而不是我们下载的中间人攻击。
浏览 0提问于2022-11-23得票数 1
我正在做一个设置,让用户在本地机器上扫描指纹,但是出于效率原因,模板被存储在中央服务器上。
由于验证SDK驻留在本地机器上,因此服务器需要将模板从数据库发送到本地计算机,以便SDK与它们匹配。
我想知道这是否是一种安全的方法,以及fp模板是否是安全敏感信息?总之,这个问题归结为以下一句话:“ISO/ANSI指纹模板格式可以用于电子或其他方式重新创建指纹吗?”
相关论文:基于细节点的指纹重建
浏览 0提问于2019-10-28得票数 3
回答已采纳
3回答
与不可信方交换密钥
、、、
假设有两个当事方-一个代理和一个服务器。代理必须通过在internet上发送标识符向服务器注册。
假设我们使用公共密码技术加密代理设备上的标识符并将其发送到服务器,服务器使用其私钥对其进行解密。Diffie-Hellman密钥交换也可用于此。
然而,这一方案并没有处理这样一个事实,即该代理无法抵御物理攻击,在这种情况下,公钥/私钥将从该代理处被盗。然后任何人都可以模仿代理,用被盗的钥匙发送注册请求。
不可否认,是否有一种方法可以从通信中知道,当事人是代理,而不需要在代理上本地存储加密密钥?
编辑:谢谢你的想法。更确切地说,代理是一台Raspberry Pi计算机,集成到一个产品中,然后运往客户
浏览 0提问于2016-08-11得票数 0
回答已采纳
我一直在使用令牌进行身份验证。然而,我无法理解令牌(JWT)与cookie是如何不同的。两者都将存储用户信息(在令牌中作为声明),具有持久性定义,并将与每个客户端请求一起发送到服务器。
除了上面提到的几个问题-
在中间攻击中,JWT令牌不容易被人为攻击吗?如果有人偷了一个令牌(在一个未加密的通道上),他们就不能假装成原始用户吗?(除非我们在索赔中添加了用户的IP等)
我读到过一些抱怨,认为cookie不适合新时代的移动应用程序,而令牌就是答案。为什么?
为什么令牌被认为比cookie更安全?是什么让他们更容易受到攻击?
令牌只需要由服务器发出,还是可以从另一个OAuth提供程序
浏览 4提问于2015-07-29得票数 3
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
