SQL注入是什么类型的攻击?我很困惑,因为这种攻击是通过客户端进行的。然而,攻击者的目标是一个“在服务器后面”的数据库。2017年OWASP前10名攻击大多是服务器端攻击,但攻击是通过客户端执行的。有人能解释一下为什么他们被归类为服务器端吗?
浏览 0提问于2018-10-12得票数 0
回答已采纳
3回答
在这里,XSS攻击被视为来自客户端机器的攻击。但是有没有办法在服务器上进行XSS攻击呢?我想知道是否有任何方法可以像SQL注入那样使用客户端接口在服务器上执行代码,但这里不是数据库服务器,而是一个简单的Web服务器或应用程序服务器。
浏览 0提问于2013-05-09得票数 1
SSRS查询的数据库是live数据库--没有单独的报告数据库。从安全的角度来看,在承载CRM数据库的同一服务器上运行SQL server Reporting是可以接受的,还是必须在单独的服务器上运行,在我的团队中存在一些争论。具体的安全问题是,在服务器上运行SSRS会增加攻击面,从而增加服务器被坏人破坏的可能性。如果SSRS服务器被破坏了,那么如果它也没有承载CRM数据库<
浏览 0提问于2015-03-31得票数 2
我想验证这一点,因为我有一种感觉,不完全了解攻击方法。客户端向应用服务器(Java)发送纯文本消息。这些消息应该存储在数据库中,而不是纯文本;它们必须被加密(使用静态加密密钥进行同步加密)。因此,最终用户/外部黑客不应该有机会进行填充oracle攻击。或者,换句话说,没有实例/服务器充当"oracle“。唯一的攻击方案是对加密进行内部黑客攻击,比如访问数据库的人(例如,对加密消息持犯罪态
浏览 0提问于2015-04-21得票数 1
1回答
我需要一种安全的方法来将密码存储在数据库中,但我也需要一种获得原始密码的方法。当然,如果不是这样的话,我就会把它搞砸了。为了解决这个问题,我想出了以下解决方案,但我想知道它是否安全。我在服务器上有一个秘密密钥,另一个秘密密钥保存在客户端应用程序中。后者对于每个用户来说是不同的,每次用户登录时都会生成一个新的密钥。只有当用户发出请求而服务器需要获得原始密码时,服务器才会同时拥有两个密钥。这意味着当服务器被破坏时,密码仍然是安全的,因为您只有总密钥的一半,而且由于我使用的是AES 256,所
浏览 0提问于2016-09-14得票数 2
我一直在阅读有关密码安全的信息,但是攻击者想要努力获取原始密码的原因是什么呢?如果攻击者确实拥有数据库的副本,那么他们就拥有数据库的副本,以及通过登录帐户获得的所有信息。一些用户数据可能被加密。攻击者可能希望稍后访问该帐户。攻击者可能希望修改用户数据,并且只能读取对服务器数据库的访问权限。攻击者没有从数据库中获取所有信息。对于已经访问数据库的攻击者来说,双因素身份
浏览 0提问于2015-09-21得票数 2
回答已采纳
3回答
服务器被攻击?
、、、
7.25号购买了一个月,8.24号续费的,今天有攻击,想换国内硬防服务器,申请退剩余时间,结果说续费不能退,要从7.25算 5天内才可以退,人家阿里云就可以退剩余时间,真是服了,我国内服务器也打算用腾讯云的
浏览 751提问于2018-08-28
3回答
储存密码和盐(盐甚至可以是“清除”形式)
与以下场景类似:您有一个客户端移动应用程序和一个带有数据库的服务器应用程序。用户使用移动应用程序使用用户名和密码注册。密码得到一个加了加的盐,并被存储在服务器端。salt也必须存储在服务器端,因为您根本不信任移动客户端。而salt应该以某种方式连接到正确的用户帐户。所以让我们假设,它存储在密码旁边的同一个用户表中。在这种情况下,如何使用salt来防止任何攻击(例如字典攻击)?如果攻击者已经可以访问数据库
浏览 0提问于2016-01-27得票数 1
然后,用户可以将文本和图片上传到服务器或从服务器下载。
在移动应用程序中使用JDBC和Webservice连接到数据库的优缺点是什么?它们之间有什么不同?
浏览 0提问于2013-11-05得票数 2
2回答
MySQL中的用户有多安全?
、、、、
假设我在同一服务器上有两个数据库(例如,AWS ),DB1和DB2。有两个用户有一些限制,每个用户被分配到一个不同的数据库。US1可以访问DB1,US2可以访问DB2。用户及其密码分别存储在不同的服务器上。DB1用于存储密文,DB2用于存储加密密钥。我可以100%地确定,如果没有密码(忽略强暴和对密码本身的其他攻击),攻击者虽然只能访问其中一个用户,但无法访问另一个数据库?
浏览 0提问于2016-12-28得票数 3
回答已采纳
使用MySql中的查询加密node.js中发布的数据安全吗?db.query('INSERT INTO questions (content) VALUES(aes_encrypt(?, "key"))', if(err){ } res.send("succes
浏览 5提问于2022-08-08得票数 0
回答已采纳
1回答
我正在阅读OWASP的前10名,因为它帮助我保护我的web应用程序免受常见的“应用程序秒”-type攻击(,CSRF等)。在一个最近的问题中,我被提示不仅要为appsec秃鹫使用OWASP前10名,而且要列出我作为架构的一部分使用的所有应用程序和工具,并将它们与CVE数据库进行交叉检查,我将这样做。但是还有其他类型的攻击:与appsec无关的攻击(在OWASP前10名上没有),也没有针对供应商的攻击(因此在CVE DB中也是如此)。像DoS/DDoS这样的攻击
浏览 0提问于2012-07-02得票数 2
回答已采纳
现在有很多密码被泄露了。系统管理员如何检测服务器上的密码数据库是否遭到黑客攻击?显然,管理员可以知道一旦密码数据库是在互联网上公布。但是,在全世界都知道这件事之前,有没有办法知道这件事呢?应该寻找什么样的痕迹来检测不同攻击的可能性?
浏览 0提问于2015-05-08得票数 1
如果web应用程序和数据库位于同一服务器上,加密数据库数据的安全好处是什么?显然,密码应该以任何一种方式进行散列。
我假设,如果攻击者能够注入一些SQL或服务器代码,他将能够查看数据库数据。
浏览 0提问于2015-02-06得票数 1
回答已采纳
2回答
当我试图访问我的站点时,我会得到一个内部服务器错误。服务器实际上工作正常,我可以像往常一样在ftp模式下访问。由于某些原因,我受到了攻击,很可能是XSS攻击,这影响了我的.htaccess文件,使其看起来像这样:大量的##:这导致了这一行的巨大长度,使得服务器将其呈现为长度溢出,而不是播放站点。编辑:服务器管理员说这与服务器无关,因为还有其他wordpress站点没有问题。
浏览 1提问于2016-11-25得票数 0
回答已采纳
2回答
关于这个主题已经写了很多文章,但是对于是否允许从DMZ访问内部网络上的数据库服务器,似乎有不同的看法。我希望你对我们的想法有意见。基本上,在为客户服务时,我们有以下的服务器和服务:“应用程序服务(WCF)”基本上是我们进入数据库的入口点,它保存了所有的业务逻辑,并在将其提交到数据库之前验证一切正常。这里还有一个只读服务,为查询数据库进行了优化。
引入DMZ,我们应该把服务器放在哪里?web服务器和外部服务显然进入受防火墙保护的DMZ,只允许必要的
浏览 0提问于2013-06-26得票数 0
回答已采纳
2回答
在迁移活动中,他们发现其中一个数据库服务器上有4个未知的本地Windows用户。这引发了技术审查和内部调查。服务器上创建了4个本地未知用户。基本的发现是,有5个web应用程序被破坏,其中1站点存在SQL注入问题。应用程序安全性被定义为“向软件添加功能或功能以防止一系列不同威胁的一般做法,其中包括拒绝服务
浏览 0提问于2017-08-26得票数 2
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
云直播活动推荐
腾讯云开发者
