腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
精选内容/技术社群/优惠产品,
尽在小程序
立即前往
文章
问答
视频
沙龙
2
回答
DMZ中ARP欺骗的防范
、
、
、
、
是否有可能在防火墙中实现防御机制以防止DMZ中的ARP欺骗。我们的DMZ服务器由两个the服务器和一个数据库(应该可以从互联网上获得)组成。
浏览 0
提问于2015-03-05
得票数 0
1
回答
在不需要用户输入的情况下显示来自mysql的数据.安全性问题
、
我正在开发一个基本的mysql应用程序,它将从数据库中获取所有数据并显示出来,唯一真正的用户交互就是对它们进行排序。由于没有地方用户将能够输入任何数据,我觉得相对安全的创建这一点。我担心的主要问题是应用程序何时必须登录服务器。我在服务器上创建了一个单独的用户名,并限制了数据库中的特权,以便特定用户只能“选择”数据。我担心这仍然暴露了服务器的位置。我应该加密这一步吗?在这种情况下,还有什么其他安全问题我应该避免吗? 如果您需要更多的信息,我很乐意在这里添加它。 更新 也许应该知道,它的主要功能是为商业目的对合并进行编目。数据库中的任何信息都不会是私有的。商业活动将在第三方电子商务网站的帮助下进行
浏览 6
提问于2012-08-16
得票数 1
回答已采纳
1
回答
基于时间的一次性密码是否提高了数据库泄漏的安全性?
、
、
据我所知,基于时间的一次性密码使用种子和数学算法生成唯一的密码。因为种子由用户(或用户使用的设备)和身份验证服务器所知道。但是,这意味着如果数据库泄漏,攻击者将知道该种子。 与数据库泄漏一样,攻击者可以同时知道密码和OTP,基于时间的一次性密码是否提高了数据库泄漏情况下的安全性?或者OTP的目标仅仅是防止攻击者通过另一种方式(另一种数据库泄漏、社会工程.)知道密码时进行身份验证?
浏览 0
提问于2018-04-25
得票数 2
回答已采纳
1
回答
对数据库进行加密以符合GDPR是否有意义?
、
、
我对这个问题的措辞很难。我宁愿问,“我如何遵守GDPR?”但这可能是一个过于宽泛的问题。数据库加密是我最关心的问题,因为这是客户端想要的。 让我们考虑一些典型的站点:前端(Javascript)、后端(Ruby,您可以命名它)和数据库(例如,PostgreSQL)。它可能是一个单一页面的应用程序,或者传统的方法(MPA)。数据库和后端很可能位于同一台服务器上。 对我来说,这听起来不值得付出这么多努力。通常,秘密只能保存在服务器上。如果有人能够访问数据库,他将很有可能找到这个秘密。除非访问可能是通过SQL漏洞获得的,而SQL漏洞通常与当今的框架一起使用。至少我相信。 那么,对数据库进行加密以符合
浏览 0
提问于2018-04-15
得票数 9
回答已采纳
1
回答
当攻击者访问本地文件时(H2)数据库密码是否受到保护?
、
这涉及到所有数据库服务器,特别是H2。数据库密码是否在物理访问媒体时保护数据? 我认为它们仅用于保护通过服务器的远程访问,而不是如果攻击者具有本地访问权限。我搞错了吗?
浏览 2
提问于2015-08-13
得票数 1
回答已采纳
1
回答
POST请求,限制为localhost
、
、
、
我正在开发一个音乐web应用程序。我正在添加一个功能,其中有一个按钮旁边的每首歌从数据库中删除它。页面将通过向处理它的PHP页面发送一个参数songId来实现这一点。现在,我想防止人们从远程服务器向该PHP页面发送POST请求。我可以检查哪些条件来限制POST请求仅来自我的音乐web应用程序或localhost。
浏览 4
提问于2012-07-03
得票数 0
2
回答
保护保存MySQL数据库的简单Linux服务器?
、
、
我正在设置一个运行Ubuntu的Linux服务器来存储MySQL数据库。 重要的是,这个服务器是安全的,据我所知,我主要关心的应该是传入的DoS/DDoS攻击和对服务器本身的未经授权的访问。 数据库服务器只接收来自端口3000上的一个特定IP (101.432.XX.XX)的传入数据。我只希望该服务器能够接收来自此IP的传入请求,并防止服务器发出任何传出请求。 我想知道: 防止我的数据库服务器只从101.432.XX.XX发出传出请求和接收传入请求的最佳方法是什么?会关闭所有港口。3000人是否有助于实现这一目标? linux环境中还有其他可以提高安全性的补充吗?我已经采取了非常基本的步骤来保
浏览 0
提问于2017-01-14
得票数 0
回答已采纳
1
回答
Windows商店应用程序中的密码哈希
、
、
、
、
我正在为我的应用程序编写一个认证服务。客户端将通过HTTP连接到此身份验证服务以注册或连接。连接后,他们将收到一个会话密钥,可以使用发送到辅助服务器的加密TCP / UDP数据包。这仍然是WIP,所以,只是给你一个大的画面-概述。 服务器端,我使用BCrypt对传入的密码进行散列。并存储在数据库中。服务器端,我还使用BCrypts验证方法来检查任何输入的密码和存储的哈希。所以基本上起作用了。 然而,我自然不想通过网络传输一个未加密的密码。Windows应用程序没有BCrypt,但我发现了一些MSDN示例代码,演示如何使用新的Windows应用程序密码API散列字符串,如下所示: pub
浏览 1
提问于2012-12-28
得票数 3
1
回答
入侵企图?主机'somedomain.org‘不允许连接到此MySQL服务器
、
我们有一个托管在共享服务器上的网站。托管公司的MySQL服务器托管在另一台服务器上。 我们通过web表单收集某些类型的请求,并将它们写入数据库。每10分钟,cron运行一个php脚本 查询数据库中的视图(没有用户提供或程序提供的参数), 向我们发送新的请求,以及 将新请求的键写入另一个表,从而有效地从视图中删除这些行。 这是在cron下运行的唯一进程,cron只运行这一个脚本。 所有php数据库访问都是通过PDO进行的。插入使用PDO的bindParam。 一个php文件包含MySQL服务器的连接信息。它存储在web根目录之外,我是所有者,它的权限是单独为我读取/写入的,完全没有其他权限。 昨
浏览 0
提问于2012-08-03
得票数 4
回答已采纳
2
回答
如果数据仅在服务器上进行内部加密(例如用于存储),填充oracle攻击是否可能发生?
、
、
当我分析在数据库中使用AES加密数据时,我读到了一些关于填充甲骨文攻击的东西,并且“害怕”它可能是一个严重的问题。但是,经过进一步的研究,我现在得出结论,在我们的具体情况下,这不应该是任何问题。我想验证这一点,因为我有一种感觉,不完全了解攻击方法。 我有以下情况: 客户端向应用服务器(Java)发送纯文本消息。这些消息应该存储在数据库中,而不是纯文本;它们必须被加密(使用静态加密密钥进行同步加密)。我们使用AES-128/CBC/PKCS5Padd,而加密则由应用服务器完成,而应用服务器是唯一知道加密密钥的实例。这意味着服务器不提供外部接口,该接口可用于发送(修改后的)加密数据包。因此,最终用
浏览 0
提问于2015-04-21
得票数 1
1
回答
我需要为web表单设置超级全局会话吗?
、
、
、
、
我正在用PHP构建一个web表单,只供用户请求关于我的服务的信息或发送评论,所以我不需要用用户名和密码记录用户,也不需要数据库。我已经有了服务器端的验证和卫生脚本。 我只想确保表单是从同一个域发送的,而不是在HTML或JS中操作,有'httpOnly'参数的cookie就足够了吗?还有一个csrf令牌?我不需要设置$_SESSION,对吗? 因此,如果联系人页面可能是攻击的目标,那么csrf或cookie的标题应该只在该页面中,这可以称为“contact.php”吗?其他页面可能不需要它,因为它纯粹是信息丰富的。 在我读到关于HTTP_REFER的文章之前,我看上去很不推荐。P
浏览 0
提问于2022-06-26
得票数 0
1
回答
关于数据库中密码的安全性
、
、
我读过这篇文章: 在密码散列的地方,它说最好在服务器中散列密码,因为如果有人窃取了散列数据库,可以在不需要密码的情况下访问用户帐户。 但是如果有人可以窃取哈希数据库,他就可以访问整个数据库,对吗?如果这是正确的,他可以访问所有数据,而不仅仅是用户信息。那么为什么他只想要部分信息呢?
浏览 0
提问于2013-04-01
得票数 0
回答已采纳
1
回答
用ip地址保护DOS websocket
、
、
、
我想知道,将用户的ip地址存储在websocket的握手中是否是再次保护我的java ee服务器DDOS的好方法: 当服务器接收到异常数量的连接时,他切换到“安全”模式,如果给定的连接请求提供服务器不知道的ip地址(存储在数据库中,第一次连接),那么我可以简单地拒绝该连接。 能帮上忙吗?(我主要关心的是尽可能保护我的websocket服务器。我已经调查过它的起源,但至今没有成功。) 谢谢你的帮助!
浏览 3
提问于2015-01-08
得票数 2
回答已采纳
1
回答
双提交cookie: CSRF令牌不需要随机值吗?
、
注意:我已经阅读了这个问题的答案,但发现它不能令人满意,可能是因为我对安全性了解不够。 我指的是前端服务器端呈现的SPA +后端API,它需要使用cookie,并且需要持久登录。由于我需要用于服务器端身份验证的cookie,所以我希望消除任何用于身份验证的LocalStorage使用(以进一步减轻XSS)。 成功登录后,httpOnly cookie将由后端auth_token设置,并被发送回客户端浏览器。这包含身份验证令牌。它将与每个请求一起自动发送(就像每个cookie一样)。 另一个cookie是由后端csrftoken设置的,它是一个长随机字符串。 前端应用程序( JS框架)在代码中的
浏览 0
提问于2019-10-15
得票数 1
回答已采纳
1
回答
Node.js服务器到Android应用程序
、
、
、
、
我将在未来几周开始一个新的项目,但我有一些问题,与“设计”的应用程序。 该应用程序将是一个服务器+数据库,与Android应用程序对话,Android应用程序也有自己的数据库(供脱机使用)。 连接将用于交换使用自定义“协议”加密的字符串(封装在TLS中的游戏网络协议)。这意味着该应用程序将具有两层安全性: TLS ->对抗MitM攻击 针对“游戏中的黑客”的自定义协议->,如游戏数据包篡改 我的问题如下: 在node.js和安卓之间可以使用TLS吗?在这个问题上有什么好的联系吗? (我了解到,在java和node.js中,证书的格式存在一些问题。它与Op
浏览 2
提问于2012-07-03
得票数 1
3
回答
如何保护我的javascript客户端,用户将在其中填写其密码
、
、
我如何拥有一个基本的javascript注册表,它将用户填写的密码发送到一个安全的axis2 web服务(它将密码的加了盐的哈希存储在数据库中)。 Mu的问题是,当用户输入纯文本密码并在服务器端进行哈希处理时,有没有办法在密码发送到服务器之前将其破解。 我如何保护我的javascript客户端,你能推荐一些库吗? 提前谢谢你
浏览 0
提问于2013-04-29
得票数 2
2
回答
保护脚本以防止数据库被公开
、
、
我们在Apache服务器上运行了一个Ioncube编码脚本,该服务器将客户机密信息存储在MySQL数据库中。我们已经使用suphp将脚本配置为在自己的帐户下运行。与往常一样,脚本从'config.php‘文件中读取数据库凭据。我们希望减少通过零天漏洞暴露数据库内容的风险。web服务器OS、Apache和MySQL已经增强。我们能做些什么来进一步锁定这个脚本吗。例如,如果有人利用了脚本,我假设他们最终会获得与脚本运行的suphp帐户相同的特权--他们会尝试转储数据库吗?我们是否应该限制对所有mysql二进制文件的访问?
浏览 0
提问于2012-05-29
得票数 3
6
回答
不使用SSL的安全身份验证
、
、
、
我想到了一个没有SSL的身份验证系统,这个系统看起来相当安全。我是不是忽略了一些重要的东西? 用户点击登录页面 服务器生成用于传输的salt (t-salt)并将其存储在会话中。 服务器作为加载的登录页的一部分向用户发送t-salt。 用户在其用户名和密码中键入并单击submit Browser MD5将它们的密码与t-salt一起加密。 浏览器将用户名和MD5 (密码+ t-salt)发送到服务器。 服务器使用用户名(*)从数据库中检索密码 服务器MD5加密从步骤7检索的密码以及步骤2中存储在会话中的t-salt。 服务器比较了步骤6和步骤8中的两个MD5
浏览 9
提问于2011-08-04
得票数 3
回答已采纳
4
回答
如何防止POST方法的黑客攻击
、
、
我有一个使用$_POST变量存储到数据库的脚本。 有一些用户试图通过创建自己的post表单方法或使用curl将post变量和值发送到服务器来欺骗系统。 如何防止这种攻击? 谢谢
浏览 0
提问于2011-02-03
得票数 2
回答已采纳
2
回答
云或胶囊等ddos保护的好处是什么?
、
、
我的服务器通过DDOS受到更多的攻击。我正在考虑购买一种服务,比如cloudfare或In胶囊,以防止DDOS。 但我不明白一件事。当攻击者看到域受到保护时,他们就无法通过IP攻击服务器了?还是我理解错了他们的服务?
浏览 0
提问于2014-10-29
得票数 0
回答已采纳
3
回答
如果将SSL与移动应用程序一起使用,我是否需要对post数据服务器端进行清理和/或验证?
、
、
、
、
我正在构建一个移动应用程序,通过ajax post将数据发布到服务器,服务器端由PHP处理,最终执行mySQL数据库操作。我知道在web应用程序中,清理和验证数据以避免安全问题很重要,但我想知道是否有必要在封闭源代码的移动iPhone或安卓应用程序中通过SSL进行交易?帖子数据是否可访问,是否会受到恶意操纵?
浏览 0
提问于2012-05-26
得票数 1
1
回答
如何使我们的网络基础设施更加冗余?
、
我们有一个单一的专用web服务器,我们支付每月从主机供应商。此服务器使用IIS和server 2008运行Windows Server 2008标准版。 我们有几个网站运行在这台服务器上。网站和数据库都位于同一台机器上。 我们定期备份网站和数据库。 我担心的是,我们所有的网站都依赖于一台服务器。 我们正在考虑引进第二台机器,以使我们的网站更加冗余。什么是最好的行动方针? 升级到服务器2008企业并使用故障转移群集? 在这两台机器上使用网络负载平衡并复制Server数据库? 再介绍3台机器:2台用于故障转移集群中的sql服务器,2台IIS服务器(带有北草坪会议大楼)? 还有其他建议吗?
浏览 0
提问于2011-09-27
得票数 0
回答已采纳
2
回答
Web服务器与数据库服务器的交互
、
、
、
众所周知,任何暴露在互联网上的服务器都需要放置在DMZ中。然而,web应用程序有时需要获得用户的输入和后端数据库表的更新等。在DMZ中,或者允许数据库连接通过DMZ防火墙返回到数据库服务器所在的内部网络。? 如果这个数据库服务器也需要从内部用户访问,比如他们可能需要查询谁在website..etc注册了。您将如何设计这个DB服务器的位置?谢谢
浏览 0
提问于2014-12-19
得票数 2
回答已采纳
2
回答
如果使用HTTPS,是否需要加密消息客户端?
、
、
我正在为我正在开发的应用程序创建一个消息传递服务,目前的数据流如下: 发送: 发送到服务器的基于用户公钥加密的=>消息,并使用保存到数据库的=>加密消息签名 接收: 服务器从数据库=>服务器接收消息,使用公钥验证签名,并使用发送给客户端的密钥解密消息( =>解密消息)。 服务器上的所有加密/解密都依赖于用户的JWT令牌进行身份验证。 我有两个主要问题: 由于服务器和客户端之间的通信使用TLS,所以在服务器上加密可以吗? 密钥应该存储在服务器上还是存储在数据库中?
浏览 0
提问于2018-10-16
得票数 0
1
回答
在数据库中存储带有aes加密的rsa私钥安全吗?
我想使用多个客户端,但我不希望对特定用户使用不同的公钥。因此,我必须在所有客户端之间共享私钥,而我只需要使用一个公钥。所以我想,如果用第一个客户端的aes加密私钥是安全的,第一个客户端用密码生成密钥,然后发送到服务器,服务器将其存储在数据库中。当用户使用另一个客户端时,数据库中的加密私钥被发送到新客户端,并且可以用用户密码解密,这样客户端也只能接收一个公钥的消息。这是个好办法吗?我想不出在多个客户端中使用RSA的另一种方法。 Ps:这是一个安全的聊天系统!
浏览 0
提问于2019-07-11
得票数 0
3
回答
关于跨站点脚本攻击
、
、
我的应用程序有一个上传管理模块,并接受Excel和文本文件到我们的服务器。 我检测到了一些上传文件中的无效数据(上传器将<script>alert("XSS")</script>置于原始数据中)。我在数据库中进行了验证,数据存储在数据库中。 我想知道我的应用程序是否易受攻击。
浏览 0
提问于2014-01-10
得票数 0
2
回答
基本的EC2负载平衡概念
、
、
、
、
我正在创建一个网站,我希望收到DDoS攻击的时候。 我在亚马逊EC2上创建了两个EBS AMIs。一个AMI用于MySQL数据库,另一个用于web主机。 我已经添加了一个弹性IP到网络主机服务器,并附加了一个DNS记录,通过路由53,以便我可以访问我的域名。 如果我要创建一个负载均衡器,我是否必须将网站的DNS记录更改为负载均衡器的ip地址?然后按照DDoS的要求,简单地启动负载均衡器下承载ami的web实例吗? 这个想法是否有点正确呢?
浏览 0
提问于2011-06-24
得票数 0
回答已采纳
1
回答
监测和管理来自机器人和/或人类的威胁的最有效的方法是什么?
、
、
、
我通常被托管公司提供的大量跟踪和量化流量数据和统计数据的工具所淹没。我同样被无数种恶意的“攻击”所淹没,这些恶意攻击针对的是人类所知道的所有网站。 用来保护网站的后端和前端的安全方法都有很好的文档记录,在实现和应用方面都是直接的,但是自治机器人大军不分国界,总是会找到一个网站的利基来入侵。 那么,我们能做些什么来处理那些用蛮力攻击你的领地的不可避免的机器人群呢?每当我查看域的错误日志时,总会有数以千计的条目看起来像机器人,试图通过欺骗url中的变量将sql代码导入数据库,从而向它们提供数据库中的模式信息或私有数据。 我的野蛮和耗时的防御计划,只是监测访客的统计,这些明显的滥用模式,或禁止ips
浏览 0
提问于2011-11-30
得票数 1
1
回答
如果源不在允许的源列表中,服务端应该如何响应CORS请求?
、
、
在我的例子中,客户机不是从服务器请求简单的html页面或JavaScript,而是调用一些服务器端方法。 这些方法将在服务器上执行一些活动-打印文档、存储到数据库等。只有当来源请求在允许的来源列表中时,服务器才应执行这些操作。 否则,服务器应响应客户端,源不在允许的源列表中。 怎样做才是正确的呢?是否将响应头Access-Control-Allow-Origin设置为'null'?或者根本不在响应中设置Access-Control-Allow-Origin头? 在这种情况下应该设置什么响应码? 200,401,...?
浏览 1
提问于2014-11-19
得票数 0
1
回答
用令牌敲击CSRF
我对网络编程很陌生。我读了一篇文章,他们建议在表单中使用令牌作为隐藏字段,并在服务器端匹配该令牌,以检测非合法请求。我想知道,如果攻击者使用iframe获取表单,该表单将在服务器上生成令牌id,并且应该匹配,这有什么区别呢?我在owasp.org上读了一篇文章,但对我来说,这听起来太神秘了。
浏览 0
提问于2014-06-12
得票数 0
6
回答
在密码加密中使用随机盐?
、
、
、
我已经看到了一些关于这个主题的其他线程,但是我似乎找不到一些关于在密码加密中使用随机盐的问题的答案。据我所知,这些步骤是这样的: 为用户生成随机盐。 把盐附加到他们的密码上。 使用类似于SHA-2的东西来散列结果。 将salt和hashed密码存储在数据库中。 当检索用户密码和验证登录时,此方法如何工作?有一个答复说,应该检索用户的salt,将其附加到输入的密码中,对其进行散列,然后将其与存储的散列进行比较,但这难道不引起一些问题吗?即: 如何在不损害用户的情况下检索盐分?如果有人想强行强制某个帐户的密码,难道他们就不能检索从服务器发送回来的盐分来散列输入的密码,从
浏览 0
提问于2010-10-26
得票数 4
回答已采纳
2
回答
PCI支持将电子邮件正文存储在包含纯文本密码的数据库中
、
、
我在PCI认证的环境中工作,这个环境(许多安全环境)在存储用户密码时都需要“强密码”,这符合8.2.1的要求。我们只需使用BCrpyt对其进行散列。 然而,我们有一个新的用例。当新用户被定义到系统时,密码将自动生成并通过电子邮件发送给用户。我们希望将用户/密码的创建和电子邮件处理分开。当创建用户时,我们希望将电子邮件主体保存到数据库中,并且在预定的任务中,我们希望发送电子邮件。 如您所见,这需要将电子邮件正文(包括纯文本中的密码)存储在数据库中。以下是我的问题: 1.我怀疑将这些数据不加加密地保存在数据库中不会违反PCI的要求,因为它不是password字段,而是email_body字段。没有
浏览 0
提问于2019-10-24
得票数 1
回答已采纳
1
回答
同源策略是浏览器限制,服务器端安全吗?
、
、
我研究过并知道同源策略(SOP)是由浏览器处理的基于客户端的策略。服务器负责将列表返回给浏览器,允许来源和浏览器检查它与当前来源,然后决定是否读取响应。也许一些案例浏览器会发送一个预照明请求来检查。但所有这些都是浏览器(客户端)的工作。服务器仍然接收来自不同域的请求并执行它,然后发送响应。而SOP不适用于来自另一个服务器的请求(服务器对服务器的请求),请求来自邮递员...所以我认为使用SOP服务器还是不安全的。 有没有人能多解释一下。谢谢。
浏览 20
提问于2018-08-11
得票数 1
回答已采纳
1
回答
保护web接口中的公共/私有SSH密钥对的最佳实践?
、
、
、
、
我在这里遇到了一个难题:我正在开发一个系统,它将连接到远程linux服务器,用于监视和自动化某些进程。由于user+pass由于明显的原因而不安全,并且存在公钥/私钥对是有原因的,所以我的站点生成一个密钥对并将公钥提供给用户(用于上传到他们的服务器),但是如果用户忘记了他们的公钥,我想给他们一种恢复的方法。 但是,如果我用用户的密码加密公钥,如果黑客进入数据库,即使密码是散列的,他们也可以使用这个哈希来解密公钥,这样就没有意义了。我开始考虑使用OTP,并在关键生成阶段和关键视图阶段询问它。 你认为如何?这个方法安全吗?有什么更好的方法来保护这个吗?实际上,我想归档的是使用主密码/密钥来解除数据
浏览 0
提问于2018-09-11
得票数 1
2
回答
在Web应用程序中存储用户名/密码的实践
、
、
、
、
我读过以下问题:在Java应用程序中存储密码,但我认为这些答案对我的情况没有用。 因此,我的问题与此有某种联系。我有一个Java应用程序,它有一个具有用户名和密码的后端DataBase安全访问权限。 现在,用户名/密码位于web服务器上的一个.properties文件中。服务器是安全的,但是让它以纯文本的形式出现有点困扰我。 在某个时候尝试使用安全存储来加密/解密用户名和密码,但是存储本身受到密码的保护,所以我应该把它存储在哪里呢?我又回到原点了。 所以?用于连接到其他系统(数据库、web服务等)的用户名/密码的最佳存储方式是什么?
浏览 0
提问于2012-11-01
得票数 18
回答已采纳
1
回答
使用OpenPGP的GnuPG加密/解密过程
、
、
、
我想知道,如果我的数据库被黑客入侵,我的加密方法是否能确保我的数据的安全性,以及我正在解密的数据的真实性。我正在使用GnuPG的OpenPGP加密标准的实现。 我有一个web应用程序,它位于“服务器A”上,用户可以通过表单提交信息。当它们提交表单时,将进行以下加密处理: 加密-服务器 使用服务器B的公钥加密表单数据 表单数据使用服务器A的私钥签名 网站的管理员用户可以通过位于“服务器B”上的另一个web应用程序查看提交的数据,解密过程发生在服务器B上: 解密-服务器B 表单数据使用服务器A的公钥进行验证 使用服务器B的私钥解密表单数据 谢谢
浏览 0
提问于2011-11-17
得票数 7
回答已采纳
1
回答
Web应用程序和同一服务器上的数据库,加密数据库数据有什么好处?
、
、
如果web应用程序和数据库位于同一服务器上,加密数据库数据的安全好处是什么?显然,密码应该以任何一种方式进行散列。 我假设,如果攻击者能够注入一些SQL或服务器代码,他将能够查看数据库数据。有人能更准确地勾勒出安全的影响吗? 编辑:为了澄清,我说的是数据加密。加密方法不是确定性的所以enc(data1) != enc(data1)
浏览 0
提问于2015-02-06
得票数 1
回答已采纳
1
回答
字段级加密与磁盘加密以满足PCI要求
、
、
、
、
我们正在设置符合PCI的服务器(在Firehost的帮助下)。我们使用MongoDB作为我们的主数据库。不过,我对加密有一些顾虑。与磁盘加密相比,字段级数据加密有什么优势(比如truecrypt)?哪个是符合PCI标准的MongoDB数据库服务器的首选?
浏览 0
提问于2014-04-21
得票数 2
1
回答
数据存放在哪里,必须在哪里加密?
、
当数据中心没有加密时,这意味着什么?这是否意味着数据库中的数据没有加密? 我只是想弄清楚数据是位于服务器级别还是数据库级别。 非常感谢
浏览 0
提问于2020-07-16
得票数 -1
回答已采纳
2
回答
是否安全,即使客户端机器被黑客攻击?
、
、
、
假设有客户机-服务器机器。 在客户端机器上,我们生成了一个Server,并在服务器机器上存储了相同的密钥。 这意味着,当客户端使用SSH连接服务器时,它将不需要密码。 如果客户端机器遭到黑客攻击,那么服务器机器就容易受到所有攻击?
浏览 0
提问于2017-07-12
得票数 0
3
回答
通过电子邮件接收OTP比通过SMS接收OTP更安全吗?
、
、
我知道通过电子邮件和短信获取OTP是2FA的最弱形式,但是如果这两种方式是2FA的唯一选择,那么电子邮件比SMS更好吗? (假设电子邮件-更确切地说,webmail --账户本身也受到了相当好的保护-使用了强大的密码和2FA。) 相关信息: 拦截短消息(双因素认证)有多难? 数据库泄漏暴露了数百万由SMS - Ars Technica发送的双因素代码和重置链接,该数据库提供了一个门户,该门户显示了几乎实时发送的双因素代码和讨厌的链接,使得访问服务器的攻击者有可能获得有助于他们劫持他人帐户的数据。
浏览 0
提问于2018-12-15
得票数 10
回答已采纳
1
回答
公钥加密与用于存储加密密钥的HSM
、
、
假设我在数据库服务器中有需要加密的敏感数据(如电子邮件等)我希望确保在服务器被破坏的情况下,攻击者不应该能够解密这些数据(至少使其更加困难)。 我在网上读过一些解决方案,似乎我可以 使用硬件安全模块(即Amazon /Vault),以便单独的服务器处理加密/解密。 使用公钥加密(数据库服务器中的公钥加密数据,私钥存储在单独的服务器中,仅处理解密) 哪一个是更好的解决方案?
浏览 0
提问于2016-06-09
得票数 0
2
回答
保护Windows应用程序免受密码恢复工具的攻击
、
、
我正在开发一个c#应用程序,其中用户将输入一些信息,如服务器,数据库,用户和密码(密码是隐藏的this.txtPassword.PasswordChar = '*';),如果我使用像这样的密码恢复工具,它会显示密码,而我知道一些应用程序是从这个工具保护(skype,雅虎信使,...)。 我想知道我必须做些什么来保护我的应用程序
浏览 0
提问于2014-06-25
得票数 3
1
回答
你能告诉我我的设计是否安全吗?
、
、
我正在为一个可以存储PII的系统设计一个数据库接口。我的第一个重点是确保所有数据都是安全的,为此,我设计了如下系统。 我运行三个不同的服务器,有三个不同的角色。服务器1,即web接口(我将称之为El ),接收用户的请求并处理它们,并根据需要返回适当的信息。 服务器2,加密接口(我将称之为Bagman)通过SSL从El Jefe接收信息并对其进行加密(使用Paragon的Halite接口),然后将其传递给服务器3。 服务器3,数据库(我将称之为存储库)存储从Bagman那里接收到的加密信息。它没有来自Bagman的加密密钥或者其他类似的东西。 现在,静止的数据是安全的。如果藏物以某种方式被破解,
浏览 0
提问于2018-08-20
得票数 1
2
回答
HTTPS是否足以避免重播攻击?
、
我在一个移动应用程序的服务器上公开了一些REST方法。 我想避免用户嗅探HTTP方法是如何构建的(从移动应用程序),然后再将它们发送到服务器。例子: 移动应用程序发送请求 用户使用代理,可以检查网络上发生了什么 用户看到并保存移动刚刚发送的请求。 =>现在我不希望用户能够手动发送该请求 是否足以在HTTPS上保护服务器?
浏览 0
提问于2012-07-21
得票数 10
回答已采纳
2
回答
如何保护IIS Web服务器
、
我们有一个web应用程序,它由internet上的IIS web服务器和数据库服务器组成,IIS通过VPN链接访问该服务器。 我们的问题是,我们需要将连接字符串存储在某个地方(显然不能存储在数据库中)。 我注意到可以使用aspnet_regiis加密web.config连接字符串: 有人能评论一下这是多么的健壮吗?我们不想要的是数据库从互联网上被黑客入侵。 我担心的一件事是,aspnet_regiis用于解密和加密,并且安装在机器本身上。因此,如果机器被攻破,并且这个exe文件在那里,那么发现密码将不会那么困难。 因此,假设不推荐使用这种保护密码的方法,那么我还有什么其他选择。 请注意,如果
浏览 4
提问于2015-08-04
得票数 2
3
回答
Web身份验证--如何安全地将用户名/密码从客户端传输到服务器
、
、
、
、
我正在尝试启动一个web应用程序(Java)。用户需要登录到系统才能使用这些功能。因此,这个应用程序有两个部分: 1)用户登记 2)登录 我关心的是,我将用户名/密码数据从web浏览器传输到服务器的方法有多安全。 注册 我对此非常困惑,因为我不知道如何安全地将数据从web浏览器发送到服务器。 登录 我有以下设置: ------------------------------------------------------<< << Client >> Server >> 请求令牌----------------------------------
浏览 1
提问于2012-01-25
得票数 4
2
回答
加密/解密应用服务器上的信息并将其发送到加密的数据库有多大帮助?
、
我只是在我们的应用服务器中添加了一些代码,以便在将个人信息存储到数据库之前对其进行加密。这主要是出于遵从性的原因,但实际安全胜利到底有多大呢? 我一直听说过数据库转储,但我不清楚攻击者通常是如何获得数据库的。如果是通过访问shell并能够运行任意代码,那么在应用服务器上查找正在使用的加密密钥似乎相当简单。 我这样问是因为如果这是真正的安全胜利,那么我们可能应该在数据到达数据库之前加密更多的数据。另一方面,如果这只是戏剧,我宁愿把我们的时间用一种有意义的方式来提高安全性。 (这是假设数据库备份本身是加密的)。
浏览 0
提问于2018-07-24
得票数 1
回答已采纳
3
回答
加密数据库对所有攻击是否安全?
、
、
、
如果我使用像dbms_crypto这样的oracle数据库加密包,这会受到任何攻击吗?我知道它使用了像3 AES、AES等算法。这些都是你在使用这个包时可以使用的,还有针对3 AES和AES的攻击,但它们相对安全。除了系统受到破坏、系统上存储密钥和恶意数据库管理之外,是否还有使用包加密的DB容易受到其他攻击?
浏览 0
提问于2020-04-21
得票数 3
1
回答
哈希、盐和最佳做法
、
、
读到关于哈希、盐和胡椒的文章,我无法理解以下情况: 如果有一个web应用程序,并且您在该站点上注册,则应该在客户端还是服务器端对密码进行散列?如果要考虑在客户端对其进行散列,还必须生成一个单独的盐类,然后将其附加到您的密码中,然后将该组合与salt一起发送到服务器,或者您也可以散列密码,将其发送到服务器,然后由服务器将salt附加到哈希中,然后再对其进行散列处理。但是,如果攻击者能够在登录期间拦截客户端和服务器之间的连接,他就不会对salt感兴趣,因为客户端只是向服务器发送散列(或明文)密码.如果攻击者能够侵入数据库,他仍然能够强行执行哈希操作。因此,据我所知,盐类只对RainbowTable
浏览 0
提问于2017-10-23
得票数 4
回答已采纳
扫码
添加站长 进交流群
领取专属
10元无门槛券
手把手带您无忧上云
相关
资讯
“黑客”攻击游戏公司服务器:开网站要交“保护费”
用 Apache 服务器模块保护您的网站免受应用层 DOS 攻击
NTP服务器在网络安全中的作用:保护网络免受基于时间的攻击
儿童保护数据库项目说明
保护AI免受攻击,防止显示伪造数据
热门
标签
更多标签
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM
活动推荐
运营活动
广告
关闭
领券