1回答
除了使用sqlmap测试所有可能的攻击之外,是否有办法仅使用特定类型的攻击来测试易受攻击的服务器?例如,我只想用PostgreSQL堆叠的条件错误盲查询攻击with服务器。有没有办法做到这一点?
浏览 7提问于2015-05-13得票数 5
我目前有一个带有iptables的Centos服务器,我目前正在接收来自几个IP地址到特定端口的攻击,我想阻止这些IP。我已经检查了这里包的长度,以阻止它,但我放置行,它绝对什么都不做。
编辑:有很多IP地址要阻止,所以我想看看是否可以阻止直接数据包。
浏览 0提问于2020-04-19得票数 1
1回答
所以我想传递一个由我写的js脚本生成的随机数,信息必须隐藏,直到传递到我的php脚本,之后它可以公开显示,有人可以看到cookie保存的信息吗?如果可能的话,有没有一种方法可以将信息从js传递到php而不被任何人看到?编辑-我可能做错了,但我基本上想做一个轮盘赌与散列等,我有散列在php上,我想动画轮盘赌使用js,动画使用js轮盘赌需要的数字,散列过程(我生成一个随机字符串,然后散列和使用十六进制解码器(substr($hash,0,8)) % 15;在它上,使一个数字从它),我害怕有人会发现散列之前,它到达js和动画,因为动画之后,散列是无用的
浏览 60提问于2021-01-27得票数 1
1回答
它是一个共享服务器,具有在同一个实例上进行暂存和活动的功能。
几天前,我从amazon那里得到更新,说cpu使用率很高。当我跟踪Php日志、慢速日志和访问日志时,我注意到访问日志中有突然的清除事件。
浏览 0提问于2023-01-06得票数 0
1回答
我在服务器上有一个秘密密钥,另一个秘密密钥保存在客户端应用程序中。后者对于每个用户来说是不同的,每次用户登录时都会生成一个新的密钥。只有当用户发出请求而服务器需要获得原始密码时,服务器才会同时拥有两个密钥。这意味着当服务器被破坏时,密码仍然是安全的,因为您只有总密钥的一半,而且由于我使用的是AES 256,所以仍然需要破解128位。
这可以吗,还是我漏掉了什么重要的东西?
浏览 0提问于2016-09-14得票数 2
3回答
在这里,XSS攻击被视为来自客户端机器的攻击。但是有没有办法在服务器上进行XSS攻击呢?我想知道是否有任何方法可以像SQL注入那样使用客户端接口在服务器上执行代码,但这里不是数据库服务器,而是一个简单的Web服务器或应用程序服务器。
浏览 0提问于2013-05-09得票数 1
1回答
我一直听着最有名的攻击这个词,但我对这个词有疑问,因为有几种攻击,比如结构性攻击,倒置攻击。有可能得到各种攻击中最著名的攻击吗?我在哪里能读到“最了解的攻击”一词的正规化?
浏览 0提问于2016-04-27得票数 0
回答已采纳
为了防止缓冲区溢出,有几种可用的保护措施,例如使用金丝雀值、ASLR、DEP、NX。但是,只要有遗嘱,就有办法。我正在研究攻击者可能绕过这些保护方案的各种方法。似乎没有一个地方提供明确的信息。金丝雀-攻击者可以计算出金丝雀值,并在他的缓冲区注入中使用金丝雀值来愚弄堆栈守卫,使其无法检测到漏洞。DEP,NX -如果有对VirtualAlloc(), VirtualProtect()的调用,攻击者可以尝试将代码重定向到这些函数,并在他想要注入任意代码的页面上禁用DEP、NX。
浏览 0提问于2012-09-21得票数 98
回答已采纳
2回答
我有一个SSH服务器,用户可以用他们的用户名和密码登录到那里。我想防止那些试图窃取用户密码的攻击。用户第一次连接到我的SSH服务器,或者从新的PC (从公共/折衷网络)连接。攻击者将他的公钥而不是真正的服务器密钥发送给用户。用户在身份验证阶段向攻击者发送密码。
我知道我的SSH
浏览 0提问于2021-02-06得票数 2
回答已采纳
1回答
HTTPS的替代方案
、、、
当被要求对我公司的网站进行身份验证时,我最终使用了htaccess和htpasswd。现在,我被要求寻找一个更安全的解决方案。有人建议我注意的一个场景是嗅探。我环顾四周,发现HTTPS似乎就是我正在寻找的解决方案。根据我所读到的,看起来HTTPS是我应该在这里下注的。我在身份验证和加密方面的知识几乎为零,所以我想知道是否有任何其他选择来为我们的网站进行安全身份验证。
浏览 2提问于2012-08-13得票数 1
回答已采纳
我是一名软件安全方面的教学助理,并运行一台易受设计攻击的服务器。
它是一个nginx服务器,它有40个端口处于打开状态。每个端口都为一个web应用程序服务,所有的web应用程序都很容易受到黑客攻击。如果一个web应用程序被破坏,攻击者将获得www数据用户的权限,然后攻击者将能够危害其他39个web应用程序。有什么办法不让这事发生吗?我不希望攻击者获得访问权限以外的单一黑客网络应用程序。服务器上的硬件限制使得Docker不可行,更不用说
浏览 0提问于2018-01-15得票数 3
我要防止它受到暴力攻击。我知道强密码是最好的,但我无法控制它。卡卡不是一种选择。我考虑了以下几种解决办法:只有每个IP地址的故障计数是可能的。在限制之后,登录将被延迟。但是有了机器人网络,这帮
浏览 0提问于2012-01-02得票数 12
4回答
Idea:
特殊数据只能在服务器上使用公钥加密存储,这样就没有人能够看到真正的数据--即使在服务器被黑客攻击的情况下也是如此。adminforce中的管理员可以通过将这些文件“打开”到浏览器中,然后一些javascript代码将对数据进行解码,使其永远不会在服务器上解密,只在安全的客户端解密。虽然RSA有几种纯的js实现,但它们只实现了朴素RSA算法,但普通RSA不能作为分组密码使用,并且存在“选择明文攻击”等攻击。
浏览 4提问于2011-06-23得票数 8
回答已采纳
我有一个android应用程序,用户可以输入他们的用户名和密码来登录应用程序因此,场景如下:3-在服务器端,用户数据与服务器的数据库进行核对攻击者可以自动重复更改用户名和密码,并连接到服务器的PHP代码
尽管<e
浏览 2提问于2018-05-07得票数 0
我认为用户程序可以通过几种方式故意影响Linux内核的状态。通过调用mmap()并编写已映射到内核的内存;我想不出别的办法了。如果我是正确的,那么假设内核中存在一些漏洞,一个恶意用户程序想利用它们来攻击内核。考虑到我们的验证总是能够说出真相,是否有可能验证每一个系统调用来防御此类攻击?
浏览 0提问于2014-12-16得票数 2
2回答
考虑到以下情况,有关保护JWT令牌完整性的问题:服务器缓存公钥,但使用http (而不是https)检索公钥,以验证JWT是否由客户端签名。攻击者拦截http连接,将公钥更改为攻击者的公钥,并向服务器发送带有攻击者签名的JWT --将消息错误地表示为从客户端发送的消息。
有办法解决这个问题吗?谢谢
浏览 0提问于2021-07-28得票数 0
2回答
据我所知,MAC然后加密的方法容易受到几种攻击,包括所谓的填充甲骨文攻击。我了解到,在这次攻击中,攻击者修改填充并侦听所造成的错误,然后可以用来推断纯文本。有人能用外行人的话解释一下这次袭击吗?我希望在答复中提到以下几点:攻击是基于攻击者捕获的密码文本,还是基于攻击者选择的密码文本?
浏览 0提问于2016-07-04得票数 2
6回答
在过去的一周里,我的网站一直遭受拒绝服务/黑客攻击。该攻击使用循环中随机生成的无效API密钥攻击我们的web API。我不确定他们是在尝试猜测密钥(在数学上不可能是64位密钥),还是在尝试DOS攻击服务器。攻击是分布式的,所以我不能禁止所有的IP地址,因为它发生在数百个客户端。我的猜测是这是一个it的Android应用程序,所以有人在Android应用程序中安装了一些恶意软件,并使用所有安装的软件来攻击我的服务器。服务器是T
浏览 3提问于2015-09-15得票数 60
云服务器
ICP备案
云直播
腾讯会议
对象存储
腾讯云开发者
