我正在部署一个安全的远程密码协议实现,我想知道当客户端生成的验证器被泄露给攻击者时会产生什么后果。我读过托马斯·吴( Thomas )的纸,尽管它很好,但它没有提到那种场景。我还读过RFC 5054,它有这样的断言:
如果攻击者了解用户的SRP验证器(例如,通过访问服务器的密码文件),攻击者可以将该用户伪装成真正的服务器,还可以尝试进行字典攻击以恢复该用户的密码。如果客户端使用验证器作为服务器身份的保证,我可以看到这会有多么糟糕。这是字典攻击<
我一直在使用专门的软件或恶意命令进入备份计算机和服务器,这些命令会在目标计算机上产生后门,然后将终端传输到我服务器上的侦听netcat会话。我想知道是否有可能在使用Netcat监听端口的服务器上产生后门。最好是Linux机器。该命令看起来类似于:Listening on [0.0.0.0] (family 0, port 9000)$
从那里攻击者现在有一个终端从受害者管道到他的服务