2回答
我读过的大多数例子都是从恶意网站开始的。让我说,我正在创建一个没有恶意意图的网站。网站什么时候变得容易被点击攻击?在没有XSS漏洞或我的服务器被破坏的情况下,这种情况会发生吗?如果是这样的话,是怎么做的?
浏览 0提问于2019-03-12得票数 3
回答已采纳
1回答
我正在开发一个Chrome扩展程序,它集成了一个网站。我的用户可以在这个网站上做行动,当他们登录到它。
我有一个Socket.IO服务器,它向我的Chrome扩展提供命令。命令到达后,扩展将从主机网站调用一个本地函数。然后,拥有具有自己API的经过身份验证的活动会话的主机网站将调用一些更新/插入调用。
我最近意识到一个潜在的安全问题,即如果有人在我的扩展客户端组织上欺骗我的服务器地址,他可以很容易地滥用它来代表我的服务器()发送自己的参数。
有什么聪明的方法可以确保我的客户与真正的服务器而不是冒名顶替者进行交流?
浏览 7提问于2021-05-25得票数 0
回答已采纳
我在亚马逊网络服务的EC2服务器上有一个WordPress博客。我按照亚马逊网络服务的this教程,配置了拥有apache:apache的目录2775和文件0664的web root /var/www/html权限,我可以正常地安装我的网站并通过wordpress进行编辑。 然而,上周我注意到网站上有一些奇怪的行为,当我查看网站根目录时,我发现一个新的目录被创建了,里面全是垃圾的php文件。该目录具有随机名称和所有权apache:apache 这是一个SSL服务器,所以它在端口80和442上有0.0.0.0的访问权限(我通过LetsEncrypt和HSTS有SSL)。 我的问题是:某人如何能
浏览 19提问于2019-03-12得票数 1
1回答
目标
通过HTTP请求验证客户端。
验证客户端的WebSocket连接。
防止利用WebSocket连接(当网站上存在XSS漏洞时)。
我是怎么做的
步骤1客户端通过发出常规HTTP请求访问网站。Cookie用于验证客户端和服务器响应的JS snippet +AuthToken(生成和保存在服务器上):
(function() {
var ws = new WebSocket("wss://localhost:1000");
// application logic goes here
})();
步骤2服务器将新创建的WebSocket连接标记为不安全/未知。
浏览 0提问于2021-08-15得票数 0
回答已采纳
1回答
Chrome不打开Https网站
、、、、
我是代理服务器的公司用户。我正在开发Fedora 20操作系统并安装了Chrome浏览器。
我在“设置->网络->更改代理设置->网络代理”下设置代理设置。
我在HTTP代理中给出了代理设置。
PFA图像
📷
但我不能通过HTTPS访问一个网站,它需要时间来加载,最后它返回网站没有找到。
我需要在全系统范围内改变任何东西吗?如果是这样的话,是怎么做的?
浏览 0提问于2014-09-23得票数 3
2回答
网络身份验证API允许通过HTTPS服务的网站允许用户通过非对称加密进行身份验证。登录的过程基本上如下:
服务器发送一个质询(16个随机字节);
客户签署挑战;
客户端发送签名。
这怎么比基于密码的认证更好呢?
MDN说:
这解决了与钓鱼、数据破坏和对短信或其他第二因素身份验证方法( ... )的攻击有关的重大安全问题。
我不明白它如何防止钓鱼或攻击2FA的方法。如果密码经过适当的散列,并且TLS已经确保中间人不能窃取密码或执行重放攻击,则不会减少数据泄露的后果,对吗?
浏览 0提问于2020-10-29得票数 1
回答已采纳
3回答
我有一个预防ddos攻击的简单思路。如果我的想法是错误的,请澄清我。
选项1
从对DDOS攻击的基本理解来看,攻击者正在向web服务器发送大量数据。那么,提供大数据上传到他们网站的网站呢?难道他们不是同时从很多上传用户那里接收到了很多数据吗?
web服务器不能像许多上传数据的用户一样对待ddos攻击吗?
选项2
网站报价怎么样,每个访问网站的人都要临时键吗?使用该临时密钥插入网站,唯一的一个(PC/IP)可以访问该网站,因此bot-net不能攻击该网站(bot-net没有临时密钥)。bot-net能记下密钥并插入到网站中吗?
附注:
这是类似的问题DDoS -不可能停下来?
浏览 0提问于2015-09-04得票数 1
回答已采纳
实际上,这不是代码问题,而是安全问题。
我收到一封陌生人的电子邮件,里面写着他对我的网站做了些什么。
我不知道他是怎么做的,但有证据表明他可以在burpSuite应用程序点击按钮时获得api和参数
有没有保护网站不受这种检查的影响?
浏览 4提问于2022-05-31得票数 0
鉴于假设情况:
一个用户登录他的银行网站
服务器返回一个只包含用户id、加密的Http-专用cookie。
对于每个请求(例如在传输资金时),服务器对id进行解密和检查。
在任何表单上都不会生成CSRF令牌,并且请求验证是基于加密的id的。
在这种情况下,CSRF攻击可能吗?如果是的话,如何运作呢?
浏览 0提问于2016-11-07得票数 2
我理解使用HSTS运行网站可以帮助防止攻击者使用K架降低网站的等级以服务HTTP请求。
如果我们的web服务器不支持HSTS怎么办?
IIS为网站设置了一个只能要求SSL请求的设置。
这是否足以防止攻击者使用SSLstrip将HTTPS降级为HTTP?我假设the服务器将无法提供非HTTPS流量,对吗?
浏览 0提问于2017-10-17得票数 2
1回答
我面临着某种"MitM“攻击类型,我真的不知道如何搜索,因为我不知道它叫什么,所以我在黑暗中,需要一些帮助和建议。
假设有一个购物网站:shop.com客户登录后,可以浏览商品,把它们放到购物车里,最后,他们可以结账,在那里他们被重定向到支付处理器,例如: paypal。该网站本身不处理任何付款或信用卡,它重定向到一个安全的网站。
有人伪造网站:fake-shop.com
当客户访问这个假网站时,它会调用原始的shop.com并向客户显示结果,但也会向其注入javascript代码。
假服务器不关心客户数据,他们什么都不拿,它只是通过假服务器,它基本上是一个代理服务器,在客户和真正的服
浏览 0提问于2022-11-21得票数 1
回答已采纳
1回答
这个问题可能很傻,但我很难理解TLS 1.2并通过HTTPS访问一个网站。
我从一个网络安全工具收到报告说我的网站不是HTTPS,我必须在服务器上启用TLS 1.2。根据我对网站HTTPS的理解,我必须向网站添加一个安全证书,并在IIS中启用HTTPS,但根据建议,一旦在服务器中启用TLS 1.2,我的网站就会变成HTTPS。
我的问题是:启用TLS 1.2是否足以建立一个网站HTTPS?如果是,是否不需要证书?是否需要同时启用TLS 1.2和IIS级别的HTTPS?
浏览 0提问于2020-08-28得票数 0
我们有一个web应用程序,它经常被随机的用户名和密码击中,以找到一个成功的登录尝试。我们引入了CAPTCHA,随机令牌生成,但这并没有阻止黑客攻击我们的web服务器。我们的web服务器CPU达到99%的使用率,它减缓了网站的真正用户。
我们需要知道是否有任何方法来停止访问web服务器(可能在客户端本身)。我不知道这是否可能。谁能告诉我怎么处理这件事吗?
更多的信息-黑客攻击我们的网站从1000个不同的IP,我们封锁了所有这些,但他是与新的一组IP每次。此外,他有million+用户名和密码从一些网站被盗,他正在使用这些在我们的网站。
浏览 0提问于2017-03-24得票数 3
我对spf记录知之甚少。我在谷歌上搜索了一下,发现spf记录被用来防止电子邮件欺骗。但我不太明白这是怎么回事。我想简单地了解以下几点。
如何为我的网站设置spf记录。(指向安全设置spf记录的任何链接都可能有用)
使用-而不是~有显著的区别吗?例如:
两者有什么区别?
TXT @ "v=spf1 a include:_spf.google.com ~all"
和
TXT @ "v=spf1 a include:_spf.google.com -all"
spf记录实际上能防止攻击者欺骗我的邮件服务器吗?
(预先谢谢:)
浏览 0提问于2015-06-14得票数 1
回答已采纳
1回答
我在我的网站上默认使用csrf保护。网站上有一些表单,允许用户将数据发送到DB (如评论)。
正如你所知道的- csrf保护足以防止攻击和注射?
浏览 3提问于2016-01-15得票数 0
回答已采纳
1回答
我有一个基于Ubuntu10.04的专用服务器,安装了LAMP。我主持了几个网站,但目前所有的网站都在同一个IP上,使用Apache虚拟主机进行配置。
每个人都可以攻击我的服务器,因为他们可以获得我的服务器的IP。我想用CloudFlare来保护它,但是我想我需要以不同的方式设置我的服务器,可能涉及到DNS。怎么做?
浏览 0提问于2013-02-17得票数 -5
回答已采纳
我们需要加载外部网站,并将其显示为我们的应用程序中的实时网站瓦片,其中x-frame-options设置为外部网站的相同来源。
我们遵循了下面的方法,但什么都不起作用。
请帮助我们了解实现这一目标的任何框架/方法。
Iframe:< iFrame src="www.xyz.com">
Ajax方法: Ajax HttpGet调用外部网站并获取html并在我们的website.But上呈现,替换来自html的图像、css和html链接不能正常工作。
Web请求方法:服务器端HttpGet调用外部网站并获取html并呈现在我们的website.But上替换图像,css和
浏览 8提问于2017-11-23得票数 0
1回答
封锁IP地址的自动化
、、、、
我有一个Ubuntu12.04机器运行Apache2,其中托管了大约10个wordpress网站。
最近,我受到客户的攻击,这些客户似乎正在向一个名为“xmlrpc.php”的wordpress文件发送帖子请求。
我阻止发送这些恶意请求的IP地址的方式是一个繁琐的手工过程,我想以某种方式实现自动化。
一旦我注意到我的服务器负载很高,我就执行以下操作:
我在所有虚拟主机访问文件上运行apachetop。这显示了正在发出的所有请求,因此我可以看到是否有向xmlrpc.php发出的请求
一旦识别出哪个IP攻击了我的服务器,我将对每个违规的IP地址运行以下命令:sudo iptables -A INP
浏览 0提问于2013-09-09得票数 0
3回答
我是编码领域的新人,
我构建了一个带有几个文本框的大型网站,所以现在我发现我一直在使用一种危险的方法在SQL服务器中插入数据,方法如下:
execSQL("insert into Dossier(ID_Dossier,Nom_Giac) values(" & id_dossier.text & "," Nom_gaic.text & "')")
Public Function execSQL(ByVal req As String, Optional ByVal type As String = "r&
浏览 1提问于2013-01-23得票数 0
回答已采纳
这是我的网站,当我查看源代码时,它显示一切正常。
当我从"google控制台“请求测试实时URL时,我看到的是日语字母。
当我在google上运行site:aba-elearning.com时,我可以看到我被黑客入侵了。所以我使用了这个免费的工具
检查我的网站,结果显示,有一个脚本在我的网站内的某处,因为。
我检查了所有地方,在我的服务器(基于Joomla构建)中发现了一些垃圾邮件php codex。但日本人仍然在那里。
这是来自测试的代码结果
这就是谷歌如何看待我的网站:
当我请求google为我的主页建立索引时,它说
最重要的是,由于某种原因,我一年多都不能更新Joomla!我有
浏览 0提问于2020-02-17得票数 0
4回答
避免由突击队自动创建流量
、、、
我在考虑网络安全,然后这个想法突然出现在我的脑海中。
说有个混蛋讨厌我知道怎么编程。我管理一个不错的网站/博客与相当数量的流量。然后,那个混蛋创建了一个程序,自动请求我的网站一遍又一遍。
因此,如果我是主持我的网站在共享主机提供商,那么显然我的网站将停止回应。
这种类型的攻击可能并不常见,但如果有人试图在我的网站上这样做,我必须采取一些措施。我不认为像wordpress或drupal这样流行的CMS会对这种类型的攻击做些什么。
我的假设是;
如果用户在1分钟内请求x次数超过50次(比方说50次),请阻止该用户。(停止回应)
我的问题是;
我的假设可以吗?如果不是,该怎么办呢?
像Goo
浏览 9提问于2013-08-19得票数 1
我正在开发一个需要用户登录的应用程序。在服务器端,我使用PBKDF2算法散列密码,但目前我正以纯文本字符串的形式向服务器发送密码。现在它容易嗅探,但我不知道如何改变它。我该怎么做才能让这个更安全?
浏览 0提问于2018-04-06得票数 6
我们有多个客户网站,提供登录通过移动号码OTP选项(新的和注册的用户)。最近,我们遇到一个事件,一个用户在几分钟内收到了100+ OTP,可以多次登录10+不同的网站。尝试在少数不熟悉的网站上也是如此。
这是哪种攻击?那怎么可能呢?
如何理解这些OTP是否用于登录和收集信息?或者只是为了制造网络恐惧?(并不是所有的客户站点都像社交网站一样提供新的设备登录通知)
我们怎样才能防止这种情况发生?(对网站和移动电话没有任何限制,不能保密)
浏览 0提问于2021-03-15得票数 2
2回答
几乎所有的网站都使用验证码图片来保护他们的表单免受垃圾邮件的侵扰。但这是最安全的方式吗?据我所知,CAPTCHA的想法是用一个包含一些“难以识别”的文本的图像来挑战用户,这样如果访问者是人(不是机器人),他/她将能够发布数据,而不是机器。网站发送验证码(图像)和会话变量,其中可能包含验证码图像的散列版本(正确答案,但已散列)。用户提交表单,服务器必须确保他/她输入的字母的散列=会话变量中包含的散列。好吧,如果我(垃圾邮件发送者)编写一个软件来模仿相同的请求,并将其发送到服务器,会怎么样?换句话说,如果验证码是abc123,散列(在可以用任何HTTP sniffer读取的会话变量中)是xyz34
浏览 1提问于2012-05-03得票数 0
Django通过cookie在用户机器上设置CSRF保护令牌。然后,它在POST请求中请求令牌。如果这两者不匹配,则返回403。
如果手动更改在请求中发送的cookie和令牌值,则请求将被接受。Django不验证服务器是否设置了令牌值。只要cookie和请求匹配,它就不会返回403。
这看起来不安全。如果另一个网站欺骗我的域并设置一个新cookie,然后在请求中发送新cookie的CSRF令牌值,怎么办?Django将对两者进行比较,并认为请求是合法的。
他们是否有以不同方式实现这一目标的包,还是我遗漏了什么?
浏览 0提问于2013-12-17得票数 12
回答已采纳
我听说了一些关于不安全的web服务器和站点的故事,人们(或机器人)闯入它们并在服务器上执行自己的代码。
我的问题是这怎么可能?我听说人们把自己的javascript放在网站上,窃取饼干和技术。我从未听说过执行代码的实际攻击。我知道mysql注入可以用于窃取数据并在页面上输入javascript代码。但是我仍然很难思考一个网站的弱点如何会危害到服务器。那件事怎么可能?
浏览 0提问于2011-11-14得票数 10
回答已采纳
1回答
我在Django网站上发现了以下安全通知:
Django的媒体上传处理带来了一些漏洞,当该媒体以不遵循安全最佳实践的方式服务时。具体来说,如果HTML文件包含有效的PNG头,然后是恶意HTML,则可以将该文件作为图像上载。此文件将通过对Django用于ImageField图像处理(Pillow)的库的验证。当该文件随后显示给用户时,可能会根据web服务器的类型和配置将其显示为HTML。
不幸的是,没有额外的信息,如何保护网站再次恶意PNG,所以我有一些问题:
我应该如何配置我的webserver (nginx)?
我如何生成html作为PNG上传到服务器上,并确保它不会显示为h
浏览 1提问于2019-04-08得票数 2
让我们假设我有一个简单的应用程序,它将数据发送到服务器(而不是放在我的网络中),例如,0 1 2 3 4 5 (显式数据)在彼此之间的一秒内延迟。是否有可能截获部分数据,修改数据并发送,就像我的应用程序发送的数据一样?怎么做?我该知道些什么?
我知道这个问题有点致命,但我真的很好奇。
浏览 0提问于2013-09-27得票数 0
回答已采纳
1回答
所以我的一个网站托管在godaddy上,现在我想把它和运行socket.io的服务器连接起来,我在数字海洋上有了一些平衡。但是,我不知道我会怎么做,我认为客户端应该是这样的吗?
var socket = io.connect('http://Digital.ocean.ip.here:port');
然后服务器端就像这样
http.listen(port, function(){
console.log('listening on *:port');
});
唯一的问题是,如果我应该这样做(如果不是本地主机的话,这甚至是可能的),那么当用户查看源代码时,他们
浏览 1提问于2017-12-21得票数 0
回答已采纳
背景:-托管一个与旅游相关的网站-大约50,000名访问者/day,通常分布在一天中。-所有静态内容均通过RackSpace CDN提供-运行SQL Server 2008 R2网络版+ Windows Server 2008 R2、IIS7的64位Windows环境
选项(两者的成本相同):1.单个用于DB + Web的云服务器,具有8 GB RAM -4个虚拟CPU核心2. 2个4 GB服务器,一个用于数据库,另一个用于Web -2个虚拟CPU核心
目前我有12 GB内存+双四核CPU的专用服务器(听起来不需要动脑筋,但我正在考虑迁移到云,因为option 3服务器持续遭受暴力SQL sa
浏览 0提问于2011-10-20得票数 1
1回答
在我的整个职业生涯中,我从来没有改变过服务器设置,但是最近我收到了很多员工的抱怨:网站有时会崩溃,加载速度慢,或者根本不加载。于是我在Google上搜索并检查了服务器上的大量请求-- ddos攻击。因此,我看到了许多防止这种情况的方法,所以我做了nmap并检查了开放端口,都很好,希望打开22/tcp开放ssh的端口会出现问题吗??
22/tcp能打开ssh吗?服务器受到DDOS攻击的原因。
浏览 6提问于2022-11-06得票数 0
1回答
我的系统将在英国一家著名的保险公司运行,它将保存和处理大量的索赔、刹车等信息。
我担心该公司和该网站,因为该网站需要通过外部经纪人访问,将成为DDoS的目标。
如果服务器上发生DDoS攻击,代码中有什么可以备份所有数据的吗?
我有一种感觉,我会得到‘不’或‘是’的答案,如果是这样的话,我可以设置哪些额外的安全措施来尝试和防止DDoS攻击?
浏览 0提问于2015-04-16得票数 0
回答已采纳
2回答
我试图将drupal网站从服务器迁移到本地主机,但我触发了错误
提供的主机名对此服务器无效。
我已经看到我需要添加受信任的主机模式,但是看起来这不起作用--我仍然得到了错误
我的服务器运行在端口9000上。
sudo php -S 127.0.0.1:9000
我信任的主人,而且我没有幽灵
$settings['trusted_host_patterns'] = array(
'^serverStuffWeDontMind$',
'^localhost\:9000$',
'^127\.0\.0\.1\:9000$
浏览 5提问于2019-11-20得票数 0
4回答
浏览器如何决定接受自签名证书?
、、、、
据我所知,使用OpenSSL,您可以自行签署您的网站的证书.这意味着,连接您的服务器的浏览器应该愿意接受您的网站的自签名证书。我的问题是,浏览器如何知道是否接受某一特定网站的自签名证书?如果我是一个客户,并为一个银行网站提交了一个自签名的证书,该怎么办?在这一点上,浏览器怎么不被欺骗呢?
浏览 0提问于2019-08-02得票数 1
回答已采纳
金融网站(银行、信用报告机构等)在验证您的身份时,通常使用两个阶段:
标识符(帐号、电子邮件等)
一个令人难忘的词中的两个字符
我注意到,如果我不能正确认证(错误的字符,网站错误),这些网站要求完全相同的字符组合,从您的难忘的单词。
这一政策似乎是广泛存在的,这表明这对安全有一定的好处。
这样对安全有什么好处(我想不出来)?
浏览 0提问于2017-12-14得票数 1
回答已采纳
1回答
HTML保护密码字段
、、、、
我在一个网站上工作,我想提供最安全的通信,但我不能在上面花太多钱。
它涉及到以下内容:<input type='password' name='password'>
它们通常会在传输协议上以纯文本的形式发送。
我只是有一些每月1欧元的便宜托管,我真的不能‘负担’(关于网站捐赠和安全的重要性)所有的子域每月8,50欧元的SSL证书。
所以我现在想知道,我有什么选择来阻止密码作为plain text发送?实际上,它以纯文本的形式发送并不重要,只是除了浏览器和服务器之外,其他任何人都不能读取它,但我猜这对于纯文本来说总是可能的。
我还通过AJAX对输入字段
浏览 0提问于2013-12-04得票数 2
2回答
我只是一个开发人员,他个人正在开发一些网站(在捐赠的基础上)一个便宜(但很好)的标准网站托管。我也在大学里学计算机科学,所以我确实很关心安全问题。
因此,我有一个网站,用户可以创建帐户,并将其存储在数据库中,我希望它尽可能安全地使用,而不需要在安全性上花钱。服务器只是在Apache服务器上运行PHP和MySQL数据库。
我知道我能做的实践:
使用复杂的数据库用户名和密码。
将密码与散列算法(最好是而不是 MD5)和salt结合起来存储。
同样不重要的是,使用复杂的FTP用户名和密码。
可能存在缺陷:
该数据库可以通过互联网“访问”,即www.host.tld/phpMy
浏览 2提问于2013-12-04得票数 2
回答已采纳
我在Asp.net的mvc网站上有一个ActionResult。它在发出请求时读取大量数据,并在页面上显示它们。
现在我觉得这是个问题。如果有人使用Firebug发出ajax请求,并对请求进行循环,那么我的服务器就有足够的工作负载。
我的意思是,假设我写了一个循环,发出了1000个假ajax请求,然后我的服务器运行了1000次sql查询,所有的工作负载都是无用的。
我该如何追踪它。有没有人能帮上忙。
浏览 2提问于2013-05-30得票数 0
许多公司在员工的笔记本电脑上安装了一个UEM代理,以跟踪笔记本电脑的健康状况。如果这个UEM将“健康”状态发回给服务器,他们允许笔记本电脑连接到内部网络。
如果设备受到破坏,攻击者将获得OS级权限。我们如何防止攻击者杀死UEM代理并向服务器发送假的“健康”通信量?
我的想法:
流量可以使用服务器的公钥加密,但这并不重要,因为攻击者可以通过OS访问在您的计算机中获取公钥。
在启动服务器会话之前,使用Yubico (U2f)对代理进行身份验证。这有点帮助,因为这防止了会话复制攻击,攻击者只能执行会话传递。(私钥不存储在系统上)但是,如果攻击者修补代理而不是杀死它怎么办?
不相信你的UEM状态?
浏览 0提问于2018-12-02得票数 0
2回答
背景
我正在设计一个多人游戏与一个单一的服务器,处理多个世界。每个玩家在请求加入哪个世界之前首先登录到服务器。
服务器有一个固定的IP地址,该地址当前与站点的IP地址相同。如果服务器需要并行运行,这种情况在将来可能会发生变化,但到目前为止,这是一个安全的假设,即服务器实际上是服务器,而不是冒牌货。
我的站点上的密码使用bcrypt和salt进行散列,并存储在MySQL数据库中。
我目前没有SSL证书,虽然我计划尽快获得一个证书,当然在网站处理任何支付细节之前,但游戏仍然可能通过开放的TCP连接进行连接,因此我对验证游戏用户的安全性需求需要手动处理。
受众
游戏的主要受众是十几岁的年轻人,尤其是
浏览 0提问于2015-08-09得票数 4
回答已采纳
1回答
我知道wp_verify_nonce()是用来确保$_POST来自一个安全的地方。
我正在开发一个WordPress插件,它创建自定义列表。为了做到这一点,网站所有者必须访问插件设置,登录您的wp-admin服务器。
如果只有在wp登录后才能访问表单,那么必须使用wp_create_nonce() & wp_verify_nonce()吗?
浏览 0提问于2019-10-30得票数 2
回答已采纳
DNS的工作方式,解析器根据响应中定义的TTL缓存查询结果。考虑一个权威的DNS服务器,它的主A记录集设置为一个不同的IP和TTL,该记录集的值非常高(比如一个月)。
是否有任何机制/进程会使所有在TTL到期前缓存恶意记录的解析器的缓存失效?因为没有一个,对于一些用户来说,不管DNS记录被管理员恢复的速度有多快,该网站可能会被关闭一个月。
还请注意,攻击者可以在攻击后立即从世界各地的不同地点访问目标网站,以便毒害各自解析器的缓存。
浏览 0提问于2013-10-02得票数 6
2回答
我在负载平衡器后面运行了数百个with服务器,托管了许多不同的站点,其中有大量的应用程序(我无法控制)。大约每月一次,其中一个网站被黑,一个洪水脚本被上传到攻击某个银行或政治机构。在过去,这些都是UDP洪水,通过阻塞单个were服务器上的UDP流量有效地解决了这些问题。昨天,他们开始使用许多TCP连接到端口80,从我们的服务器上涌出一家大型美国银行。由于这些类型的连接对于我们的应用程序是完全有效的,所以仅仅阻止它们是不可接受的解决方案。
我正在考虑下列备选方案。你推荐哪一种?你实现了这些,以及如何实现的?
对带有源端口!= 80的TCP服务器(iptables)传出TCP数据包的限制
与排队情
浏览 0提问于2012-10-19得票数 9
回答已采纳
当我们浏览网页和访问各种网站时,就有机会访问恶意网站。
我想知道恶意web服务器可以用什么方法来对付它的访问者,我们能做些什么呢?我们可以预先采取什么防御措施?
我想这可以分为隐私窃取和系统妥协。我更感兴趣的是恶意web服务器如何危害我的系统。
浏览 0提问于2022-11-04得票数 0
回答已采纳
我想建立以下项目:
公共REST后端,可由任何经过身份验证的客户端访问。
前端使用HTML/CSS/Javascript中的静态文件,并使用Backbone.js jQuery调用REST后端
实际上,在我的架构中有三个方面:前端,它是后端的客户端,后端和希望在前端登录页面上进行身份验证的用户。
保护参与该体系结构的三方的最佳方法是什么?
事实上,我认为如果我在javascript中完成所有事情,就不可能在前端执行一个安全的应用程序,所以我打算将身份验证/授权委托给服务器前端的代理层。你觉得怎么样?
我打算使用OAuth来保护我的REST后端,但我不确定是否必须使用2或3条腿的
浏览 0提问于2011-12-17得票数 16
回答已采纳
3回答
我似乎找不到一个可靠的非对称加密解决方案来保护开放数据通道上基于python的服务器应用程序和客户端之间的数据安全。
我需要为我的客户提供一些方法来防止中间人在开放数据通道上的攻击,我目前的交流让我向我的客户发送一个令牌,他们使用令牌来验证他们正在与我的服务器应用程序对话,方法是在我的网站上使用php脚本检查令牌是否有效。这并不理想,而且很容易通过等待发送令牌并将其传递给另一个用户而受到损害。
我尝试过as3crypto的rsa加密,但它是一个旧的实现,许多库都不支持它,并且有一个已知的漏洞。
我真的想要一个解决方案,让我硬编码公钥/私钥到客户端和服务器中,以防止类似的事情发生。
浏览 1提问于2011-02-08得票数 0
回答已采纳
我读到的关于冒充网站的文章越多,我就越困惑。攻击者是否需要服务器的私钥才能模拟网站,或者拥有私钥只会使他有解密通信的能力?
当我想到模拟一个网站时,我想到了一个碰撞攻击,其中一个md5散列被破坏了,然后可以使用一个假证书来使用一个新的密钥对来有效地模拟一个网站。
当我想到一次MiTM攻击时,我想到的是一种攻击,在这种攻击中,处于中间的人获取服务器的私钥,并在客户端和服务器之间来回转发通信量,从而允许攻击者解密和查看所有通信。对我来说,这不是“冒充网站”。有人能澄清一下我的困惑吗?
浏览 0提问于2014-10-02得票数 0
回答已采纳
1回答
我试图在客户端和服务器之间安全地发送数据。我用AES加密敏感数据,然后用RSA加密密钥,然后使用签名确保数据不被更改。
它看起来很安全,但我听说了一个bug,我不知道它的名字,但它是这样工作的:
首先,客户端向服务器发送加密请求。
黑客可以看到加密的请求,但无法解密。
黑客一次又一次地将加密请求转发给服务器,并试图找出发生了什么事。
例如,客户端向服务器发送一个请求,该服务器上传图片并将该图片添加到他或她的墙上。黑客可以重新发送此请求数百次,因此服务器将上传该图像并将其一次又一次地添加到客户端的墙上。啊!怎么这么乱呀!
所以我的问题是:
这个虫子叫什么名字?
怎么阻
浏览 0提问于2018-06-29得票数 1
我有一个CentOS服务器,它有时会崩溃或者受到DDOS的攻击。目前,我有一个场外备份,其中填充了1.7TB的数据。目前,我为备份支付的费用和服务器的费用一样多,我正在从有经验的人那里寻求关于从这里开始的最佳选择的建议。
它是否是一个可行的解决方案,放弃离地备份,而是购买一个额外的服务器,这是一个完全复制的第一个服务器。因此,如果第一台服务器停机,用户将被重新路由到第二台服务器,而不会注意到第一台服务器已经关闭。这将创建第一台服务器的自动备份(尽管不是非现场备份),并放弃对昂贵的离站备份的需求。
以上解决方案是昂贵备份的真正解决方案,还是绝对必要的非现场备份?我该怎么做(很明显,这很复杂,所以
浏览 0提问于2012-09-28得票数 -1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
