腾讯云
开发者社区
文档
建议反馈
控制台
登录/注册
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
精选内容/技术社群/优惠产品,
尽在小程序
立即前往
文章
问答
视频
沙龙
1
回答
为什么DDoS会攻击DNS源IP?
、
、
、
最近,我的许多朋友一直在谈论僵尸网络。他们说他们自己创造了。,很明显,我 我知道这都是违法的,所以我尽量不参与其中。 但我一直在想它们是怎么工作的。我在网上读过一些文章,也读过一些关于控制服务器和点对点通信的基本知识,但我仍然不太明白。有时我的朋友会问什么托管公司支持UDP欺骗,我不明白。C--他们只是从我假设的设备上发送UDP数据 在向DNS服务器发送数据时不欺骗源IP (例如)?
浏览 0
提问于2022-01-26
得票数 0
回答已采纳
2
回答
attr_encrypted的安全密钥应该存储在哪里?
、
我一直在看attr_encrypted,但是它将密钥存储在代码中,这似乎不太安全。如果我的网络服务器被攻破,加密不会有多大帮助。 如果我的gets服务器被攻破,数据仍然可以安全的有哪些选择?
浏览 5
提问于2014-06-19
得票数 3
回答已采纳
2
回答
Windows Server 2012 R2和IIS是否受到心脏出血漏洞攻击的影响?
、
、
、
、
"OpenSSL 1.01 -受影响的一个生产版本-自2012年3月12日以来一直在发货“ 这(上图)是否意味着我们一个月前订购的Windows2012HTTPS服务器,现在在IIS中运行HTTPS站点,容易受到心脏出血攻击? 我读过一篇文章,建议使用这个网站的检查你的服务器是否易受攻击,但它现在可能受到了大量的点击,因为它没有响应。
浏览 48
提问于2014-04-09
得票数 46
回答已采纳
2
回答
清漆和连接洪水(DoS - DDoS)
、
、
、
我一直在玩Varnish服务器,我的网页很快就被打开了,它在谷歌的Pagespeed和100 @Pingdom中获得了97分。我使用了Varnish (代理nginx),NGINX (只有本地可用的代理,代理*.php到PHP (但我想转到HipHop proxies ))。 因此,由于我的页面速度很快,并且只使用了大约500/1GB的Ram,所以我让我的一个朋友在这台机器的HTTP服务器上执行压力测试。我配置了以下反DDoS机制: iptables防火墙限制连接/秒 一些更多的iptables检查(会话以SYN、ICMP等开头) 清漆缓存 重新编码小网页,以存储一些值,这些值通常会在备用ph
浏览 0
提问于2012-05-01
得票数 1
1
回答
在虚拟服务器上防止崩溃和幽灵真的有可能吗?
、
、
、
、
我最近一直在阅读崩溃和幽灵错误,以及它们给虚拟化服务器带来的问题,因为一个VM中的内存可能会被另一个在同一个主机上的VM中的用户访问。 我在DigitalOcean (这里)上找到了这篇文章,他们讨论了如何确保向服务器应用新的内核补丁,以帮助减轻bug的影响。在评论中,我看到人们谈论这样保护他们的服务器水滴(DigitalOcean的VPSs品牌),这就是我感到困惑的地方。当然,在其VM上应用的任何安全更新都不会影响在旧操作系统更新上的另一个VM中错误的执行?当同一台主机上的攻击者在操作系统的旧版本上时,他们就不能很好地利用这些bug,因为它们是执行所需代码的,而不是他们试图从其中检索内存的更
浏览 0
提问于2021-09-27
得票数 1
回答已采纳
1
回答
GWT -xss(跨站点脚本)演示
、
、
我一直在通过gwt (V2.4.0)演示一个示例xss攻击,.I创建了一个带有html文本区域和提交按钮的表单(GET方法),在提交时它通过gwt rpc调用服务器,如果存在xss漏洞,示例测试用例//<SCRIPT SRC=http://ha.ckers.org/xss.js></SCRIPT> //不应该是filtered.But --这不起作用,请分享如何执行xss攻击?只是一个概述或要点就可以了。
浏览 2
提问于2012-07-21
得票数 1
1
回答
CryptoLocker使用的对RSA的定时攻击?
、
、
到目前为止,我已经研究了对RSA的定时攻击,我们都知道ransomware名为CryptoLocker使用RSA 2048位加密。现在,是否可以使用定时攻击破坏加密。我一直在收集关于CryptoLocker的信息,它是一种ransomware,它用RSA 2048位加密来加密系统中的文件,并要求赎金以释放存储在服务器中的私钥并解密受感染的文件。由于它是一种2048位加密,所以不可能破解密钥,然而,通过侧通道攻击,研究人员甚至攻击了4096位RSA加密。定时攻击是一种侧通道攻击。 所以我的问题是,是否有可能通过执行定时攻击来攻击网络罪犯的服务器?
浏览 0
提问于2014-02-22
得票数 8
1
回答
CPU侧通道攻击是否仍然是VPSs上的一个问题?
、
、
、
、
我一直在研究如何获得一个VPS来运行OpenVPN服务器,以及其他一些事情。我已经和一家托管公司谈过了,他们给我发了这张截图,以显示他们受到保护,不受目前已知的所有虚拟机监控程序的攻击: 📷 然而,对已知的漏洞实现进行保护并不一定意味着我得到了充分的保护。VPS数据是否仍有可能在今天被泄露,还是已经成为过去?我是应该担心呢,还是比我想象的要少得多呢? 谢谢。
浏览 0
提问于2021-10-14
得票数 1
回答已采纳
1
回答
能否确定日期为2019年4月的SolarWinds TFTP服务器是否被破坏?
、
由于服务器遭到黑客攻击,SolarWinds一直是在新闻中。目前尚不清楚这一妥协有多久。我从他们那里使用的唯一产品是他们的免费TFTP服务器。该妥协的“指纹”是否已记录下来,以便确定某一下载是否受到影响?这些已泄露的文件现在可以用商业病毒/恶意软件扫描器检测到吗?
浏览 0
提问于2020-12-22
得票数 1
回答已采纳
1
回答
我们为什么要在服务器上超时?
、
这个问题是相当普遍的,因为我想了解‘超时’的一般安全好处。 对于我们的Nginx代理服务器,我们一直在使用HTTP/S超时,我们遇到的问题是Nginx服务器返回了一个超时。现在,我们解决了这一问题,只需增加Nginx的超时时间。我们不断地扩大超时,可能是针对某个特定的端点,似乎我们一直在推动一个潜在的问题。我们一次又一次地看到这个问题,我问了一个问题:为什么我们甚至想要超时? 考虑到一些恶意尝试,比如向服务器发送大量负载,如果Nginx给出超时(或任何“超时管理器”),服务器仍将处理数据。 那么,为什么我们要使用服务器超时呢?有什么更好的方法来解决每次达到超时上限的问题呢?会像WebSocke
浏览 0
提问于2020-04-24
得票数 0
回答已采纳
1
回答
没有SSL和HTTP的HTTPS
、
我正在为Linux存储库开发本地服务器。我们一直在使用没有SSL验证的HTTPS来建立服务器和代理之间的连接。在关闭SSL验证时使用HTTPS与使用普通的旧HTTP真的有什么区别吗?
浏览 0
提问于2018-06-27
得票数 1
1
回答
DDoS是否仍然会导致低延迟的ping应答?
、
、
我有一个主机服务器运行星号PBX,其规格如下: Debian 9 x86 64位Linux、2GB RAM、2TB带宽和20 GB SSD存储。 近一天来,服务器似乎“离线”。我不能使用FileZilla (SFTP)进入或连接到它。然而,我得到的是正常的ping回复: Pinging domain.com [IP.AD.DR.ESS] with 32 bytes of data: Reply from IP.AD.DR.ESS: bytes=32 time=28ms TTL=51 Reply from IP.AD.DR.ESS: bytes=32 time=30ms TTL=51 Reply
浏览 0
提问于2018-12-19
得票数 0
回答已采纳
2
回答
在公共互联网中公开默认服务器主页的安全问题是什么?
、
我在互联网上看到,有几家网站公司公开了默认的web服务器主页,如Tomcat、NGNIX、Apache web服务器。我一直认为公开默认的web服务器页面并不是最好的做法。但是现在大多数的网络服务器都避免了主页中的任何敏感信息。那么,目前,在互联网上公开默认的web服务器页面有什么问题吗?
浏览 0
提问于2018-09-20
得票数 0
2
回答
服务器被DD攻击怎么办?
、
服务器被DD攻击怎么办
浏览 731
提问于2020-06-19
2
回答
相对路径可以减少HTTP主机头攻击吗?
、
我一直在研究http主机头攻击。有许多例子,如<a href="https://_SERVER['HOST']/support">Contact support</a>。为什么会有人对同一服务器所服务的资源使用绝对路径?我只看到了连接到不同服务器的绝对路径。例如,我期望<a href="/support">Contact support</a>,因为href有一个前导的正斜杠,支持页面相对于根url。对于它所服务的所有资源使用相对路径的all服务器是否仍然会被HTTP主机头攻击所利用?
浏览 0
提问于2021-11-15
得票数 1
1
回答
服务器经常被攻击,会有什么影响?
、
、
你好,请问下最近我的云服务器经常被流量攻击,虽然只是用来测试软件的,但是连续好多天服务器一直被打死,长期下去会对云服务器有影响吗?
浏览 313
提问于2021-01-17
2
回答
在主web服务器上托管Wordpress是否存在安全问题?
、
、
、
我们一直在Linux虚拟盒上托管Wordpress博客,在IIS服务器上托管我们的主要web应用程序。我们的网站是www.mainsite.com和wordpress是在www.blog.mainsite.com上。 现在有一项要求,即博客必须以www.mainsite.com/blog的形式出现。我可以在我们的主要网站IIS服务器上安装PHP、MySQL和Wordpress;我的问题是是否存在安全和性能方面的问题?在Wordpress和PHP中不时会发现一个新的漏洞;将这些易受攻击的技术带到我们的主要web服务器上好吗?有人能告诉我“如果wordpress博客的管理帐户被破坏了,这会对主we
浏览 0
提问于2014-12-29
得票数 2
回答已采纳
1
回答
权威名称服务器是否容易受到DNS放大/反射或其他类型的攻击?
在过去的几天里,我一直在学习DNS。 为了好玩和学习,我想尝试为我自己的领域建立一个权威的名称服务器。 我读到,创建open 解析器通常是反对的。 我想知道是否也不鼓励创建自己的权威的名称服务器。 有什么攻击适用于权威的命名者,我应该注意吗?如果是的话,这些攻击能在多大程度上得到缓解?
浏览 0
提问于2022-02-20
得票数 2
回答已采纳
1
回答
收到通知我的服务器参与"DNS放大攻击“。我怎么能停下来?
、
我刚收到一封来自我的网站互联网提供商的电子邮件,我的服务器在过去几周中一直作为开放解析器参与DDoS攻击(DNS反射)。 这是完整的电子邮件: 主题: DNS放大攻击亲爱的先生或女士,我们收到了垃圾邮件/滥用通知。请采取必要步骤,防止今后再次发生这种情况。此外,我们还请你在24小时内向我们和提交本申诉的人提供简短的陈述。这个纹身应该包括事件的细节和你正在采取的措施来处理它。下一步:-解决问题-把你的陈述发送给我们-把你的陈述发送给每封电子邮件投诉的人,细节将由同事检查,他将协调进一步的程序。如果发生几次投诉,这可能会导致服务器被锁定。-附件请参阅您网络范围内打开的DNS服务器的IP地址的此邮件
浏览 0
提问于2013-07-02
得票数 2
回答已采纳
1
回答
了解PHP和MySQL安全的基础知识
、
、
、
、
我一直避免学习PHP和MySQL,因为我在互联网上读到的关于PHP不是一种安全语言的内容,以及数据库的安全风险(SQL等)。 我想要了解的主要问题是,PHP/MySQL代码的糟糕通常会造成何种类型的破坏。换句话说,在编写糟糕的代码、数据库中的信息或整个服务器时,我们要冒什么风险? 我知道这可能是一个复杂的话题,但我只想简单地解释一下,当数据库或PHP脚本被破坏时,什么信息通常会受到影响。 当数据库被破坏时,这是否意味着整个服务器可能面临风险,或者仅仅是数据库及其内容? 当PHP脚本被破坏时,这是否意味着整个服务器可能面临风险,或者仅仅是脚本和任何与内容相关的内容?
浏览 5
提问于2014-07-15
得票数 0
回答已采纳
2
回答
是否安全,即使客户端机器被黑客攻击?
、
、
、
假设有客户机-服务器机器。 在客户端机器上,我们生成了一个Server,并在服务器机器上存储了相同的密钥。 这意味着,当客户端使用SSH连接服务器时,它将不需要密码。 如果客户端机器遭到黑客攻击,那么服务器机器就容易受到所有攻击?
浏览 0
提问于2017-07-12
得票数 0
2
回答
JSON Web令牌(JWT)
、
、
、
、
我有一个关于JSON令牌(JWT)的一般性问题。 如果JWT是通过黑客攻击或物理访问从客户端(例如,它被存储为cookie或应用程序的数据库)窃取的,它可以被用来发送到服务器,服务器会认为它是合法用户。这是正确的吗? 是否有任何常见或标准的做法来防止这种情况,例如,通过从客户端和服务器发送设备/浏览器的类型或某些引用代码,来检查它是否与生成和存储的JWT令牌相匹配。(但是,我了解到,标准做法是不将任何内容存储在服务器上。) 请提供建议,因为我需要实现Java (JJWT)、RESTful Java泽西和。(我一直在阅读类似这样的文档:)。 谢谢!
浏览 6
提问于2017-01-21
得票数 4
回答已采纳
1
回答
有一个IP一直访问我的服务器 我应该怎么禁止他访问?
、
、
一个Ip 一直访问我的服务器,上次一直访问我没有管,结果服务器中了勒索病毒! 我应该怎么防护比较号,端口就开了 80和443 这样可以安全吗,他是在扫我的 漏洞端口还是做啥。。
浏览 1300
提问于2019-01-12
2
回答
TLS客户端可以执行任何DH再生吗?
我对密码学只有很少的了解,但我一直在关注这个问题;一些帖子和文章(其他地方)暗示客户端可以重新生成DH密钥。是否仅仅是一个服务器问题?是否有办法让客户定期进行DH再生;如果有,如何进行?客户有什么办法可以绕过Diffie-Hellman的僵局问题吗?
浏览 0
提问于2015-05-22
得票数 1
1
回答
侦测到高风险入侵
、
、
、
我有来自赛门铁克的端点保护。最近,我收到了许多赛门铁克云警报电子邮件。 wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php 他们一直在攻击托管在我服务器上的随机域。我的大多数网站都使用基于.NET的框架,只有少数网站运行在Wordpress上。而且所有的Wordpress都不使用这个revslider_show_image插件。 我不知道这次攻击的定义(也许是DoS?),但是想知道如何解决这个问题。 目前,我只是使用这种方法阻止IP地址,但我不确定它会有帮助。 --这是赛门铁克的回复,其实没什
浏览 0
提问于2014-09-16
得票数 0
回答已采纳
1
回答
可重复密码
、
、
、
是否有一种安全的加密方法,可以对给定的输入产生相同的结果? 我的用例是将巨大文件的增量传输到备份服务器。备份服务器不了解字节流中的内容(也不应该)。 为了只传输文件中更改的部分,任何未更改的块都需要返回相同的密码文本。这允许服务器和客户端检测到不需要再次传输的相同范围( rsync的工作原理)。 我一直在研究CTR密码,但据我所知,随着时间的推移,我需要重用IV,最终得到同样加密的块,这显然是不可能的。 这有可能吗,还是我违反了密码的基本原则?
浏览 0
提问于2014-08-28
得票数 4
2
回答
攻击者如何获得密码?
、
我一直在考虑ransomware,在我看来,密码似乎是攻击者的一个问题。我可以看到两种方式之一的下降。 该密码包括在程序中并在攻击之前设置,在这种情况下,受害者可以检索密码。 或者,密码被发送回攻击者的服务器之一,在这种情况下,密码可能会在途中被攻击者的计算机或网络设备上的日志中找到,并使攻击者能够跟踪。 在这两种情况下,攻击者都有可能在不付费的情况下获得密码。他们是否有其他方法获得更安全的密码,或者他们不在乎一些受害者是否逃脱了?
浏览 0
提问于2015-08-10
得票数 5
回答已采纳
1
回答
Redis写到..ssh/授权键
、
当前设置,2个主服务器,12个辅助服务器:工作人员通过ssh-copy id连接到主服务器,主服务器和工作人员在主服务器上的红队列中写入数据。过去一周我一直面临的问题是,redis在authorized_keys文件中写入数据,我无法复制此问题或确认哪个服务器正在这样做。我查看了redis配置文件,没有发现任何使redis写入authorized_keys文件的设置。有没有其他人面临这个问题或类似的问题,我清除授权的密钥文件,并再次写入它。
浏览 8
提问于2015-11-13
得票数 7
回答已采纳
1
回答
为什么在单节点网络上不起作用?
我一直在阅读关于网络共享的文章(也就是使用这种方法),根据多个消息来源,这对多服务器网络来说只是一种风险。 现在我了解到,当一个节点断开了与IRC网络的连接时,就会发生网络分裂,因此在单个服务器网络上不可能进行网络拆分,因为只有一个节点。 但从理论上讲,攻击者不能从单个服务器网络断开每个人的连接并获取op状态吗?从技术上讲,这并不是坐骑,但它将是非常相似的。
浏览 0
提问于2015-07-09
得票数 3
1
回答
有任何已知的例子,公司谁成功地突破了狮子狗,野兽或SWEET32?
、
、
当这一消息于2014年首次被宣布时,布赖恩·克雷布斯关于这类生日袭击的威胁有多大,但我一直未能找到一个成功入侵的案例研究。 在公共领域,是否有任何东西超出了理论范围,并显示了使用Poodle、Beast或Sweet32的开发是成功的?
浏览 0
提问于2019-03-25
得票数 1
3
回答
XSS可以在服务器上执行吗?
、
在这里,XSS攻击被视为来自客户端机器的攻击。但是有没有办法在服务器上进行XSS攻击呢? 我想知道是否有任何方法可以像SQL注入那样使用客户端接口在服务器上执行代码,但这里不是数据库服务器,而是一个简单的Web服务器或应用程序服务器。
浏览 0
提问于2013-05-09
得票数 1
1
回答
永恒的定时攻击和响应抖动
、
、
、
、
我一直在研究永恒的定时攻击,即使用并发性的定时攻击,而不是往返时间。这里是portswigger的一篇文章,它的链接指向梵歌德的原始文章。基本上,如果您将两个请求打包到一个TCP数据包中,用于HTTP/2或Tor,那么它将抵消网络抖动。我理解当从客户端=>服务器进入时,这是如何工作的,但是当服务器响应时,HTTP响应再次出现在不同的数据包中,所以它们不会在返回途中受到抖动的影响,并且可能会出现故障吗?在我读过的任何一篇文章中,我都没有看到回程中提到过网络抖动。
浏览 0
提问于2021-02-22
得票数 2
回答已采纳
1
回答
Bleichenbacher猫的9条命,它又一次划伤了
、
、
、
、
Bleichenbacher演示了一个针对RSA实现的填充甲骨文攻击,该实现遵循PKCS #1 v1.5。多年来,各种缓解技术被开发为OAEP,并限制了一段时间内的查询执行次数。在随机预言模型中,OAEP一直是证明安全的。 2018年11月,Ronen et.al在的9个生命:TLS实现上的新缓存攻击中证明了Bleichenbacher仍然适用。 新的攻击在高层是如何运作的? 哪些TLS实现受到影响? 怎样才能减轻攻击的影响?
浏览 0
提问于2018-12-07
得票数 9
回答已采纳
4
回答
LAMP服务器的完整性监视
、
因此,我正在设置一个小型电子商务应用程序,并在考虑如果服务器被破坏会发生什么。我们正在销售软件,这样一个潜在的入侵者就可以为自己生成一些免费的序列号(并不是什么大问题),也可以抓取客户数据库(更多的是担心),或者做一些鬼鬼祟祟的事情,比如将合法的付款重新定向到另一个paypal帐户(在担心方面介于两者之间)。 我一直在想,我想知道PHP是否改变了。这会引起大多数的入侵尝试吗?(当我在做的时候),我将如何在服务器堆栈的更远的地方进行更改?是否有审核内容变更的标准方法? 最安全的选项大概是在另一个服务器上定期登录并将内容与自己的记录进行比较的预定任务。有没有现成的免费工具可以做到这一点?
浏览 0
提问于2012-04-30
得票数 1
3
回答
DDoS -如何检测攻击者的IP地址
、
有人一直在攻击我的服务器,但不幸的是,我已经将我的操作系统切换到了FreeBSD,因为我之前使用了Debian5.0Lenny,而我在Debian上使用的netstat或tcpdump命令没有一个在FreeBSD上工作。 那么,我如何检测攻击者的IP地址,以便在防火墙中阻止这个家伙呢?
浏览 0
提问于2012-03-09
得票数 0
回答已采纳
1
回答
Wordpress Pingback /XML攻击
、
、
我在IIS 7上安装了一个安装在Windows虚拟专用服务器上的网站,我注意到它正在受到攻击,使用Wordpress Pingback/XML方法,导致我的网站离线。 这是原木; 2014-08-08 00:56:40 *IP ADDRESS HERE* GET / - 80 - *IP ADDRESS HERE* WordPress;+*WEBSITE SENDING ATTACKS HERE*+verifying+pingback+from+*IP ADDRESS HERE* 302 0 0 1593 2014-08-08 00:56:*IP ADDRESS HERE* GET / - 8
浏览 0
提问于2014-08-08
得票数 -1
1
回答
OVH服务器DDOS攻击保护
、
、
、
我在ovh.com上购买了服务器。(不是游戏,常规的)3天来,我一直在努力设置防御DDOS洪水的措施。什么都没出来。支持一天一次,不会给出一个明智的答案。因此,我呼吁你。如何配置防火墙以防止DDoS攻击? 锈蚀游戏的服务器安装在服务器机器上。10001港口开放。如果您使用UDP协议对此DDoS端口发起攻击,则以太网将加载多达126 Mb /S,服务器上会出现严重的延迟。我做错了什么? 防火墙配置截图
浏览 0
提问于2020-04-10
得票数 0
1
回答
是否有人可以读取我在使用TLS1.2时用java套接字发送的字节数组?
、
、
如果有人能回答我,请给我一个电话。我知道这样也许不适合问这个问题 我用Java 8中的套接字创建了聊天应用程序,我使用了TLS 1.2,我的问题是:是否有人可以读取我发送的数据(他可以解密)?也许是类似于中间攻击的人或者别的什么..。我应该注意的是,我使用的服务器只用于向目标客户端发送传入消息(而不是在其上存储任何内容)。 我问这个问题是因为我一直在想,如果有人使用我的应用程序并开始发送一些非法的东西(字面意思是任何东西),为什么使用所谓受保护的应用程序的人会在end.What上被抓到。如果我的服务器上没有任何数据存储,我是否可以声称我的应用程序是安全的,这个人会被抓到吗? 如果这是个愚蠢的问
浏览 0
提问于2022-12-18
得票数 1
1
回答
如果服务器的PK很强,对称密钥长度对TLS有多大影响
、
、
、
、
假设客户端和服务器正在使用SSL2.0,它支持DES加密套件。另外,假设服务器的RSA密钥是不可分解的。在SSL2.0中,客户端选择主秘密并使用服务器的公钥对其进行加密。如果客户端和服务器同意使用DES的破密文套件。MITM如何利用弱对称密钥(DES)?在我看来,除非服务器的公钥被考虑在内,否则MITM什么也做不了。专家能向我详细说明或澄清吗?
浏览 0
提问于2017-01-01
得票数 1
回答已采纳
1
回答
连接恶意when服务器时的风险周期和风险方向
、
、
、
请原谅我的术语失误。 最近,我试图通过SFTP连接到服务器。SSH公钥响应与我所期望的不同,与信息页面相差1字节。 无论如何,我都很想继续联系,假设这一定是个错误。但我没有,而是联系了系统管理员。原来这是个错误,从“心出血”开始就一直存在,而且我是第一个注意到它的人。 如果我已经进行了连接,实际的风险是什么?我想我明白,我可能连接到攻击者的服务器,而不是我想要连接的服务器,但这引发了两个问题: 当然与我没有任何关系,所以“唯一”的风险是我上传了一些东西或者输入了一些凭据,认为这是正确的服务器,但我不希望攻击者拥有?也就是说,我的机器上的个人文件没有风险,当我与服务器断开连接时,风险就结束了?
浏览 0
提问于2014-09-26
得票数 0
回答已采纳
1
回答
理解HTTPoxy
我一直在阅读由于CGI而存在的httpoxy漏洞。从本文件开始,我理解了httpoxy的工作原理。 我的理解是:所有HTTP头值都需要提供给CGI程序,因此CGI所需的这些值通过环境变量传递。 例如: path: header被转换为HTTP_PATH环境变量。 现在来了HTTP_PROXY。HTTP_PROXY环境变量将如何引起攻击?
浏览 0
提问于2018-02-21
得票数 0
回答已采纳
1
回答
冗余路由器和负载平衡与DDoS攻击
有了一个支持和条件强大的小服务器群,我担心对这个主机的DDoS攻击越来越多(不是我的web项目,而是位于同一位置的其他客户端)。 我已经预订了一个冗余路由器和负载均衡器作为托管服务与此主机共享负载与所有专用服务器。 然而,我今天又迷路了,因为另一个项目被DDoS攻击了几个小时: 当无法联系到我的adserver和跟踪时,每小时就意味着损失数百美元。即使超时广告必须由我支付,但不能转售给我的客户,没有服务器可用。一直以来,服务器、负载和流量都是正常和健康的,但如果主机易受攻击,则没有机会保持这一稳定/在线。 谁有想法或建议,如何保护--即使是针对DDoS?
浏览 0
提问于2012-07-04
得票数 2
3
回答
100 to /S升级至1 1gbps网络--防止DDOS
、
在过去的几周里我一直受到DDOS的攻击。 现在看来,我的服务器网络正在被淹没,直到它没有空间来接收和发送正常的包。 我运行CentOS5.6,并加强了SYSCTL和iptables,以尽可能地抵御SYN攻击。 我有一个100 my网卡和连接到我的托管公司。 正常输入流量约为8mbit/s,攻击发生时数据峰值达到100 8mbit。 如果我将服务器升级到1 1GBPS网卡+网络连接,它能帮助我抵御攻击吗? 我希望管道在受到攻击时不要这么快泛滥。
浏览 0
提问于2011-08-08
得票数 5
回答已采纳
2
回答
我的服务器被人传了恶意文件,请给个说法?
我的服务器被人传了恶意文件,请给个说法?我的网站一直用的好好的,服务器也很久没有登陆过,因为网站安装好后基本上不需要天天进服务器,但我发现我的网站根目录被人传了一个恶意的文件,访问的时候跳转到一个类似宣传色情的网站,我想知道,为什么别人可以随便往我的服务器里面上传文件 ,难道一点安全都没有吗?后面提交了工单一直不回复,什么意思,几个意思了?
浏览 742
提问于2016-04-26
7
回答
为什么salt不会阻止LinkedIn密码被破解?
、
、
、
、
在这个克雷布斯关于安全问题的采访中,提出并回答了这个问题: BK:我听过一些人说,如果LinkedIn和其他人对密码进行了腌制,或者给每个密码增加了一些随机性,从而迫使攻击者花费更多的资源来破解密码哈希,你知道这可能不会发生。你同意吗?Ptacek:这实际上是另一种误解,认为问题在于密码未加盐。UNIX密码,从70年代开始,它们就一直被盐碱化,并且永远被破解。在你的密码中加入盐的想法是一个70年代的解决方案。回到90年代,当人们闯入UNIX服务器时,他们会窃取影子密码文件并破解这个文件。当您丢失服务器时,总是会丢失该服务器上的密码。 Ptacek并没有真正解释为什么会这样--他只是说过去盐并没
浏览 0
提问于2012-06-11
得票数 35
回答已采纳
1
回答
恶意服务器会破坏Yubikey OTP并使用它登录到其他服务器吗?
假设我使用我的Yubikey OTP登录到多个服务器,它就会被破坏。我去登录那个受损的服务器,然后输入我的OTP。显然,一旦验证了密码,它就不能被重用,但是谁能说服务器必须验证它呢?恶意软件可以继续复制自己,尝试使用Yubikey、OTP等登录到另一台服务器,这样就可以在更多的服务器中复制自己。这有可能吗,还是我遗漏了什么?
浏览 0
提问于2020-12-26
得票数 1
3
回答
SYN洪水仍然是一种威胁吗?
、
、
最近我读到了不同的拒绝服务方法。一种突出的方法是SYN洪水。我是一些不太好的论坛的成员,有人在卖一个python脚本,它会使用带有欺骗IP地址的SYN数据包来DoS服务器。 但是,如果将SYN数据包发送到带有伪造IP地址的服务器,目标服务器将将SYN/ACK数据包返回给被欺骗的主机。在这种情况下,被欺骗的主机不会返回一个RST数据包,从而取消75秒的长等待,并最终失败地尝试DoS服务器? 编辑:如果我不使用SYN曲奇呢?
浏览 0
提问于2010-05-15
得票数 5
回答已采纳
1
回答
使用客户端和服务器端密钥加密密码
、
、
我需要一种安全的方法来将密码存储在数据库中,但我也需要一种获得原始密码的方法。当然,如果不是这样的话,我就会把它搞砸了。为了解决这个问题,我想出了以下解决方案,但我想知道它是否安全。 我在服务器上有一个秘密密钥,另一个秘密密钥保存在客户端应用程序中。后者对于每个用户来说是不同的,每次用户登录时都会生成一个新的密钥。 只有当用户发出请求而服务器需要获得原始密码时,服务器才会同时拥有两个密钥。这意味着当服务器被破坏时,密码仍然是安全的,因为您只有总密钥的一半,而且由于我使用的是AES 256,所以仍然需要破解128位。 这可以吗,还是我漏掉了什么重要的东西? 编辑:我需要在对外部服务的API调用中
浏览 0
提问于2016-09-14
得票数 2
2
回答
JWT和CSRF的区别
、
、
我一直在读关于JWT的文章,据我所知,它是服务器在用户登录后发送的令牌。用户将不得不将该令牌与所有未来的HTTP请求一起发送。这为服务器创建了一种验证用户请求的无状态方式。 现在我不明白的是,如果JWT是在报头中发送的,并且仅标记为HTTP,为什么还需要CSRF令牌来防止CSRF攻击?我的理解是,JWT和CSRF令牌都绑定到用户,JWT可以同时服务于这两个目的。 我知道使用CSRF令牌,所以来自其他站点的HTTP请求将不会被接受。JWT为什么不能做到这一点呢?是什么将CSRF令牌与JWT令牌分开,并允许它实现这种差异? 我一直在阅读关于JWT和CSRF令牌以及double submit方法的文
浏览 1
提问于2017-08-30
得票数 24
回答已采纳
1
回答
同源策略是浏览器限制,服务器端安全吗?
、
、
我研究过并知道同源策略(SOP)是由浏览器处理的基于客户端的策略。服务器负责将列表返回给浏览器,允许来源和浏览器检查它与当前来源,然后决定是否读取响应。也许一些案例浏览器会发送一个预照明请求来检查。但所有这些都是浏览器(客户端)的工作。服务器仍然接收来自不同域的请求并执行它,然后发送响应。而SOP不适用于来自另一个服务器的请求(服务器对服务器的请求),请求来自邮递员...所以我认为使用SOP服务器还是不安全的。 有没有人能多解释一下。谢谢。
浏览 20
提问于2018-08-11
得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属
10元无门槛券
手把手带您无忧上云
相关
资讯
浏览网页,手机显示被攻击,一直弹窗?
服务器被DDoS攻击?如何缓解DDoS攻击?
服务器被攻击了怎么解决
怎么处理网站服务器被攻击?
服务器被攻击怎么办
热门
标签
更多标签
云服务器
ICP备案
实时音视频
对象存储
云直播
活动推荐
运营活动
广告
关闭
领券