1回答
我们知道有一个人在中间的漏洞与未经认证的DH密钥建立。以及否定的方法,即使用验证所使用的密钥。但如果我只核实一端的签名呢。那有什么漏洞吗?
编辑:明确一点,我指的不是认证方不知道与谁交谈的事实。我特别想到的是一个密码漏洞,在这个漏洞中,没有控制机器(未经身份验证的端)的人可能会造成一些破坏。
浏览 0提问于2014-05-10得票数 2
2回答
我不是在问密码和密钥认证的问题。为什么要这么想?是不是因为我们都知道密码是一种糟糕的身份验证形式,所以假设只是“使用私钥”?
浏览 0提问于2014-04-21得票数 2
回答已采纳
我们有一个管理门户网站,我们使用它来配置和监视我们的系统,我们最近让一位安全顾问扫描我们的服务器上的漏洞。我们的管理门户是通过用户名和密码认证以及双因素身份验证来保护的。问题是,安全顾问正在对获得完全授权的完全身份验证的用户进行漏洞评估和渗透测试。这是有意义的,但由于用户已经完全通过身份验证,扫描正在改变配置,以至于系统将不再运行。
所以,用这种方式做扫描对吗?
浏览 0提问于2021-05-09得票数 0
1回答
我的需求是使用TFS DevOps管道进行“身份验证扫描”,为此,我在TFS下添加了"OWASP Zed Attack Proxy Scan“扩展,并在管道中添加了任务。另外,我还安装了OWASP桌面应用程序(2.10.0),在网站上的“未认证模式”下工作得很好,但我需要做“认证扫描”,这样工具才能在登录页面后识别错误/漏洞,如何做到这一点?
浏览 29提问于2021-10-05得票数 1
2回答
保护对Java脚本文件的访问
、、、、
我有一个网站,授权访问各种形式的内容(PDF,MP3,MP4等)的认证用户。该网站已为我开发的LAMP的第三方开发商。用户使用存储在MySQL DB中的用户名/密码向应用程序进行身份验证。它们不使用Apache、MySQL或任何其他机制进行身份验证。
最近,对该网站的渗透测试发现了一些明显的漏洞。让我摸不着头脑的是下载javascript文件的身份验证要求。
浏览 1提问于2013-12-23得票数 0
PAM认证:明文客户端身份验证插件是否有人实际尝试使用PAM身份验证或明文身份验证插件?
如果是的话,请解释如何配置和
浏览 0提问于2013-06-12得票数 0
1回答
假设我对mysql数据库有完全的根访问权,但没有根用户shell (linux)。如何使用对mysql数据库的完全根访问来执行根命令?
浏览 0提问于2012-09-26得票数 2
回答已采纳
2回答
这是我的设计:
现在,我想构建我的ASP.NET MVC前端。是否可以将我在身份验证后收到的令牌放在cookie中,这样我就可以使用我需要进行的每个安全调用来访问它了?我使用RestSharp DLL来执行我的http调用。如果它有安全漏洞,那么我应该在哪里存储我的令牌?
浏览 4提问于2015-06-29得票数 11
回答已采纳
1回答
我正在编写一个应用程序,主要目的是传播漏洞意识。最初,用户不需要提交信息,因此我将写入设置为false。因此,注册和认证是不必要的。但是,我的应用程序现在有了一个功能,用户可以检查他们的设备是否易受攻击,其结果(即设备信息和漏洞状态)将上传到数据库,如下所示:是否有任何规则或方法来保护此分支不受恶意用户上传/更新/删除整个分支而无需登录身份验证
浏览 2提问于2022-08-28得票数 -1
1回答
在用一个更大更快的mysql替换了我的磁盘之后,我正在尝试安装MySQL。在ubuntu上安装mysql-server后,运行select user,host,authentication_string from user where user='root';时,authentication_string我设置了密码,但登录到root的唯一方法是使用sudo运行MySQL命令,如果我试图输入密码,如果我运行mysql -u root -p,它就不能工作。
浏览 0提问于2021-08-24得票数 0
我现在的网站设置如下:用户被重定向到login.php页面以进行身份验证。用户名和密码通过POST发送到login.php,并且不以任何方式加密。(潜在的安全漏洞,但我不确定是否存在或如何修复。)Login.php生成100个字符代码(可能过多)。此代码与当前时间一起存储在用户的cookie和MySQL数据库中。检查数据库中的身份验证代码,并检查它是否仍然有效(不到6小时前)。如果没有,请将用户重定向到登录页
浏览 0提问于2016-10-23得票数 1
如果我在我的Microsoft帐户上设置了2FA (例如)并创建多个方法,例如SMS、email和身份验证应用程序,那么我会比仅仅设置身份验证程序更容易受到攻击吗?我想知道这一点,因为如果我的电子邮件被黑了,黑客就可以使用我的电子邮件(如果他们已经有我的密码)来验证我的身份。如果我的前女友拿了我的SIM卡(有我的电话号码)并且知道我的密码,那么她可以通过短信认证进入我的帐户。那么,我是否正确地认为,只设置一种身份验证方法将使我更安全,因为它留下较少的漏洞可供利用?我相信认证</e
浏览 0提问于2021-09-02得票数 2
回答已采纳
在后缀设置中,我们使用pam_mysql模块从MySQL数据库对用户进行身份验证。(类似于此链接)只有最新版本的pam_mysql可用的其他选项是加密、md5和sha1。此外,不希望重载Dovecot进行身份验证,因此
浏览 0提问于2019-02-13得票数 0
因为我想在几个后端验证用户身份。认证数据是否可以保存在所有后台使用的redis或Mysql中?
浏览 2提问于2011-04-13得票数 0
回答已采纳
2回答
我想通过一个API公开一个服务,其中包含了使用PHP/MySQL进行身份验证的两个因素。一个因素是简单的用户名和密码。对于另一个因素,我尝试使用交互式TLS,其中客户端证书与用户名匹配。我找到了一些关于如何使用SSL证书设置用户身份验证的不错文章。到目前为止我发现的最好的是在下面。
但是,似乎有一个漏洞,这和其他的文章在解释一些东西给我。相反,他们说Apache确认证书是由CA证书签署的。因此,任何能够访问公共证书的人都可以使用它作为身份验证的因素之一来验证服务。如果是这样的
浏览 0提问于2018-05-10得票数 0
回答已采纳
1回答
我们正在使用Keycloak身份服务器,它将负责我们的新的多层次营销网站的认证和授权。
我们的团队正在讨论如何在本地数据库中单独维护授权概念。因为我们只需要使用ID服务器进行身份验证,所以似乎。:分别维护授权逻辑和身份验证逻辑的最佳实践是什么?
浏览 0提问于2017-06-22得票数 2
回答已采纳
在运行sudo mysql_secure_installation时,我一直收到以下错误
..。失败!错误: SET密码对于用户'root'@'localhost‘没有任何意义,因为使用的身份验证方法不会在MySQL服务器中存储身份验证数据。如果要更改身份验证参数,请考虑使用ALTER。
浏览 0提问于2022-05-22得票数 1
1回答
假设我是main.com,我的服务被网站所有者clienta.com clientb.com使用我的计划是在客户端服务器上实现一个后端视图,比如clienta.com/gotomain,它将在本地验证用户的身份,不管他们做什么(session auth、cookie auth等等)。token=j2j90ajsd90j2&sender=clienta,我将通过令牌对用户进行身份验证。
令牌格式将是用户标识的sign(userid, CLIENT_A_KEY)签名版本。(我想到的
浏览 0提问于2019-02-03得票数 1
回答已采纳
1回答
MySQL认证哈希破解
、、、
我目前正在进行关于MySQL服务器远程身份验证的研究。我在客户端和服务器之间捕获了未加密、未压缩的身份验证包,其中用户名为纯文本,但密码使用两个盐类进行散列,在建立TCP连接后发送给客户端的“服务器问候”数据包中也可见。我在密码哈希上运行了哈希标识符,它说哈希是使用SHA-1或MySQL5算法进行散列的,但是我不能使用MySQL5甚至使用Hashcat提供的不同SHA-1变体破解它。您知道在客户端和MySQL服务器之间使用什么算法进行身份验证吗?如何正确地应用盐类?您能
浏览 0提问于2014-07-02得票数 2
1回答
其中一个实验室要求避免认证。在拦截api调用时,我看到用于身份验证的有效负载是很小的json: "username": "uname", "": ""我尽我最大的努力去完成实验室所以问题是-这个身份验证漏洞有多真实?我无法想象后端算法会获取一个密码列表,并试图通过每个密码对用户进行身份验证。
浏览 0提问于2021-12-14得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
