腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
精选内容/技术社群/优惠产品,
尽在小程序
立即前往
文章
问答
视频
沙龙
2
回答
腾讯云安全告警 ?
云主机安全
暴力破解事件通知! 尊敬的腾讯云用户,您好! 您的服务器 172.21.0.5(开发商账号:100005932924 instancd-id:ins-1nijwccn 地域:bj) 检测到存在未处理的来自 212.237.45.247 的暴力破解事件。您的服务器疑似被黑客入侵,请即刻前往云镜控制台查看详细信息。 这是怎么回事,小白不懂这是为什么
浏览 832
提问于2018-06-06
1
回答
这些日志是什么意思?我在攻击谁吗?
security
、
logging
今晚,我的服务器进入了“反黑客”模式,我只能使用只读FTP下载我的数据。 他们告诉我,我是对网络的威胁,这些日志导致了警报: Attack detail : 82Kpps/25Mbps dateTime srcIp:srcPort dstIp:dstPort protocol flags bytes reason 2016.04.24 03:04:13 CEST MY_IP:44530 8.8.8.8:53 TCP RST 40 ATTA
浏览 0
提问于2016-04-24
得票数 0
1
回答
spf记录如何防止服务器受到攻击者攻击?
email-spoofing
我对spf记录知之甚少。我在谷歌上搜索了一下,发现spf记录被用来防止电子邮件欺骗。但我不太明白这是怎么回事。我想简单地了解以下几点。 如何为我的网站设置spf记录。(指向安全设置spf记录的任何链接都可能有用) 使用-而不是~有显著的区别吗?例如: 两者有什么区别? TXT @ "v=spf1 a include:_spf.google.com ~all" 和 TXT @ "v=spf1 a include:_spf.google.com -all" spf记录实际上能防止攻击者欺骗我的邮件服务器吗? (预先谢谢:)
浏览 0
提问于2015-06-14
得票数 1
回答已采纳
1
回答
GWT csrf保护remoteServlet方法仍处于实验阶段
gwt
、
csrf-protection
Gwt文档以及GWT IN action 建议在客户端扩展XsrfProtectedService,在服务器端扩展XsrfProtectedServiceServlet…… 但这两种方法仍然被标记为“实验性的,可能会发生变化。不要在生产代码中使用它。” 怎么回事?这是一个遗留问题--还是现在在生产中使用它们是安全的? 提前感谢您的帮助!
浏览 3
提问于2017-10-31
得票数 0
1
回答
wp-管理文件夹,蛮力和密码保护
login
、
security
我不知道暴力攻击是怎么回事。我已经用密码保护了wp-admin文件夹,还有常规的Wordpress登录。如何有这个“第二层”来抑制蛮力攻击?这是因为自动化进程无法重新启动第二次登录吗? 谢谢。
浏览 0
提问于2018-06-18
得票数 1
2
回答
服务器被DD攻击怎么办?
网络安全
、
安全
服务器被DD攻击怎么办
浏览 707
提问于2020-06-19
1
回答
在成功的ajax响应中未调用可数据的dataSrc函数
jquery
、
datatables
、
datatables-1.10
我使用插件使用ajax属性从服务器获取表数据,并使用dataSrc属性对其进行转换。我的数据定义: var my_table = $('#my_table').dataTable({ "processing": true, "serverSide": true, "ajax": { "url": "/my/url", "type": "POST", "dataSrc": funct
浏览 6
提问于2016-09-13
得票数 0
回答已采纳
2
回答
是否安全,即使客户端机器被黑客攻击?
linux
、
ssh
、
ssh-keys
、
ssh-keygen
假设有客户机-服务器机器。 在客户端机器上,我们生成了一个Server,并在服务器机器上存储了相同的密钥。 这意味着,当客户端使用SSH连接服务器时,它将不需要密码。 如果客户端机器遭到黑客攻击,那么服务器机器就容易受到所有攻击?
浏览 0
提问于2017-07-12
得票数 0
2
回答
我的推荐人日志中未注册的域名heiiehdsx.com
referrer
、
http-referer
、
referer
、
referrals
、
referrer-spam
最近,未注册(可用)的域名heiiehdsx.com出现在我的HTTP引用日志中。它来自不同的IP地址(没有一个非常相似)。当我用谷歌搜索域名时,唯一的结果是它也出现在其他服务器日志中的报告。 有人知道这是怎么回事吗?
浏览 2
提问于2011-01-03
得票数 0
1
回答
恶意服务器能获得星号密码吗?
security
、
password
、
asterisk
、
digest
长话短说,一部客户电话被泄露,并被用来进行非法通话。一项调查显示,这款手机的网络用户界面有一个端口转发条目,它受到6位数字密码的“保护”。我们假设这是被破坏的,现在正试图弄清楚他们是如何从那里获得扩展名密码的(它对UI不可用,也不包含在您可以从web UI中检索的配置文件备份中)。他们可以通过web做的一件事就是更改注册服务器。 我知道密码从未以明文发送,但我认为挑战/响应身份验证的主要目的是确保客户端是他们所说的用户,以保护服务器。我不知道客户得到了多少保护。因此,我的问题是:如果端点试图对恶意SIP服务器注册,该服务器能否获得SIP凭据?
浏览 0
提问于2017-06-08
得票数 0
1
回答
太多的dovecot进程:校验密码-回复
process
、
cpanel
、
whm
、
dovecot
所有人。 我有一个服务器,上面有这样的规范: 24个核心。32 4Tb 4TB磁盘空间。 但就在几周前,我遇到了一个问题,服务器负载很高。通过过滤流程,我可以看到,重复次数最多的过程是: /usr/local/cpanel/bin/dovecot/usr/libexec/dovecot/校验密码-答复 上一次负载较高时,有500多个这类排队过程。我不得不把他们全部杀了,这样服务器才能再次得到稳定的充电。这是怎么回事?我已经审查过,它们不是攻击。我在这台服务器上有1100多个客户端帐户,其中有4000多个域。 这不是一个月前发生的。每件事都从一天到另一天。有什么建议吗?
浏览 4
提问于2017-01-24
得票数 1
2
回答
浏览器更新,但仍然容易受到贵宾犬的攻击
tls
、
chrome
、
firefox
、
internet-explorer
因此,我公司的一些合作伙伴通知我们,他们将完全禁用服务器的SSLv3支持。 这促使我的上司抓住这个机会更新我们的操作团队的互联网浏览器,以禁用对SSLv3的支持。 我们知道Chrome和Firefox已经发布了禁用SSLv3的更新,因此我们要求他们将浏览器更新为最新版本。然而,即使在我们应用了最新的更新之后,当我们通过某些测试时,它们仍然显示浏览器是脆弱的。 甚至奇怪的是,一些PC会显示脆弱,而一些显示不脆弱。 知道怎么回事吗? 使用的测试:https://www.poodletest.com/ https://zmap.io/sslv3/sslv3test.html
浏览 0
提问于2015-03-17
得票数 2
1
回答
给出一个加密的文件和同一文件的非加密版本,加密密钥可以很容易地恢复吗?
encryption
、
cryptography
、
archive
、
7zip
、
data-recovery
这个问题部分是理论性的,一部分是实践性的。一个完美的答案会在理论上回答为什么,实际上是怎么回事。 问题 给定加密文件和同一文件的非加密版本,可以恢复加密密钥吗?更具体地说,如何做到这一点? 背景 我有同事旧机器的备份文件。它们被存储在一个加密的7zip文件中。文件表尚未加密,因此应该可以隔离各个文件。我没有的是实际的加密密钥(由于存储介质故障)。不过,我确实有一些未加密的文件,它们也在容器中。我如何使用这些来恢复整个存档?
浏览 2
提问于2014-01-07
得票数 2
回答已采纳
2
回答
Elgamal签名方案中的哈希函数如何防止存在伪造攻击?
elgamal-signature
、
forgery
我听说过哈希消息M可以防止存在伪造攻击。我想知道是怎么回事。
浏览 0
提问于2014-11-22
得票数 3
3
回答
另一人或在另一项服务上重复使用密码
passwords
、
salt
在不同的服务中使用相同的密码如何降低安全性?使用与其他人相同的密码是如何降低安全性的?非常基本的问题,我一直在想,GitHub最近看到了这条消息,提醒我, 由于您或其他人在其他服务上重复使用该密码,您提供的密码已被报告为已被破坏。 和, 为GitHub生成唯一密码。如果您在其他地方使用您的GitHub密码,并且该服务受到破坏,则攻击者或其他恶意参与者可以使用该信息访问您的GitHub帐户。 从理论上讲,这是怎么回事?难道不同的盐不应该使它对任何攻击者几乎毫无用处吗? 不同的盐分值将产生完全不同的散列值,即使明文密码完全相同[维基百科维基百科]。
浏览 0
提问于2018-10-20
得票数 1
回答已采纳
2
回答
8个皇后的最大非攻击性皇后对数
math
、
optimization
、
combinatorics
、
n-queens
8-Queens问题的最大非攻击性皇后对数由8×7/2 = 28给出。有人能解释一下8x7/2是怎么回事吗?
浏览 16
提问于2016-08-11
得票数 2
回答已采纳
3
回答
XSS可以在服务器上执行吗?
security
、
xss
在这里,XSS攻击被视为来自客户端机器的攻击。但是有没有办法在服务器上进行XSS攻击呢? 我想知道是否有任何方法可以像SQL注入那样使用客户端接口在服务器上执行代码,但这里不是数据库服务器,而是一个简单的Web服务器或应用程序服务器。
浏览 0
提问于2013-05-09
得票数 1
1
回答
如果服务器的PK很强,对称密钥长度对TLS有多大影响
encryption
、
tls
、
cryptography
、
public-key-infrastructure
、
asymmetric
假设客户端和服务器正在使用SSL2.0,它支持DES加密套件。另外,假设服务器的RSA密钥是不可分解的。在SSL2.0中,客户端选择主秘密并使用服务器的公钥对其进行加密。如果客户端和服务器同意使用DES的破密文套件。MITM如何利用弱对称密钥(DES)?在我看来,除非服务器的公钥被考虑在内,否则MITM什么也做不了。专家能向我详细说明或澄清吗?
浏览 0
提问于2017-01-01
得票数 1
回答已采纳
1
回答
client.p12文件在OpenVPN中的省略
cryptography
、
openvpn
我不太清楚OpenVPN背后的技术,所以我有一个关于OpenVPN安全性的问题: 如果我有client.p12 (PKCS#12)文件,并且这个文件被泄露(带有导出密码)给某个邪恶的人,该怎么办?此外,这个人可以转储我加密的VPN通信量(这是用泄漏的client.p12文件保护的)。 这是否意味着我的流量可以用MITM解密或黑客攻击? 或者这是不可能的,因为服务器密钥没有被破坏,而这个邪恶的人只能在服务器上授权我?
浏览 0
提问于2014-07-18
得票数 0
回答已采纳
3
回答
SYN洪水仍然是一种威胁吗?
tcp
、
denial-of-service
、
rst
最近我读到了不同的拒绝服务方法。一种突出的方法是SYN洪水。我是一些不太好的论坛的成员,有人在卖一个python脚本,它会使用带有欺骗IP地址的SYN数据包来DoS服务器。 但是,如果将SYN数据包发送到带有伪造IP地址的服务器,目标服务器将将SYN/ACK数据包返回给被欺骗的主机。在这种情况下,被欺骗的主机不会返回一个RST数据包,从而取消75秒的长等待,并最终失败地尝试DoS服务器? 编辑:如果我不使用SYN曲奇呢?
浏览 0
提问于2010-05-15
得票数 5
回答已采纳
1
回答
同源策略是浏览器限制,服务器端安全吗?
cors
、
cross-domain
、
same-origin-policy
我研究过并知道同源策略(SOP)是由浏览器处理的基于客户端的策略。服务器负责将列表返回给浏览器,允许来源和浏览器检查它与当前来源,然后决定是否读取响应。也许一些案例浏览器会发送一个预照明请求来检查。但所有这些都是浏览器(客户端)的工作。服务器仍然接收来自不同域的请求并执行它,然后发送响应。而SOP不适用于来自另一个服务器的请求(服务器对服务器的请求),请求来自邮递员...所以我认为使用SOP服务器还是不安全的。 有没有人能多解释一下。谢谢。
浏览 20
提问于2018-08-11
得票数 1
回答已采纳
1
回答
恶意服务器会破坏Yubikey OTP并使用它登录到其他服务器吗?
yubikey
假设我使用我的Yubikey OTP登录到多个服务器,它就会被破坏。我去登录那个受损的服务器,然后输入我的OTP。显然,一旦验证了密码,它就不能被重用,但是谁能说服务器必须验证它呢?恶意软件可以继续复制自己,尝试使用Yubikey、OTP等登录到另一台服务器,这样就可以在更多的服务器中复制自己。这有可能吗,还是我遗漏了什么?
浏览 0
提问于2020-12-26
得票数 1
3
回答
为什么远程服务器上的签名验证比设备上的签名验证更安全?
java
、
android
、
encryption
、
reverse-engineering
、
decompiling
应用程序计费概述中的部分指示在远程服务器上执行“签名验证”,而不是在应用程序中(在Android设备上本地运行): 通过执行签名验证,您可以帮助检测被篡改或被欺骗的响应。您可以在应用程序中执行此签名验证步骤;但是,如果应用程序连接到安全远程服务器,则建议在该服务器上执行签名验证。 但是,如果我在远程服务器上执行签名验证,只期望得到一个yes/no或true/false答案,那么攻击者拦截和修改这难道不是更容易吗? 如果来自远程服务器的答案是另一个签名,那么在设备上本地验证第二个签名比第一个(市场)签名更安全吗? 我遗漏了什么? Update: @alf正确地指出,如果服务器还负责交付购
浏览 4
提问于2012-01-09
得票数 5
回答已采纳
1
回答
403禁忌误差
server
、
apache2
、
roundcube
我的网络服务器有问题。当我点击快速通过,例如,Seafile或圆形立方体显示了一个403禁止的错误后,短时间。然后我唯一能做的就是等待10秒,然后继续我的工作。apache日志只说明: [Thu Oct 22 14:48:53.068806 2015] [evasive20:error] [pid 3725] [client 95.88.156.113:52747] client denied by server configuration: /var/www/seahub.fcgi, referer: [Seahub Adress] 我正在运行Apache2.4.7,在apache2.con
浏览 0
提问于2015-10-22
得票数 1
回答已采纳
1
回答
PermitRootLogin是否,我不能登录,但为什么密码是从用户询问?
ssh
、
login
、
root
我禁用了PermitRootLogin,我无法通过root登录到服务器,但是用户询问密码: 📷 这是正确的吗?还是我错过了什么?为什么密码在不允许的时候被问到?!
浏览 0
提问于2016-02-21
得票数 7
回答已采纳
1
回答
识别MySQL注入开发
mysql
、
phpbb
我认识一个服务器带有cPanel/WHM和phpBB 3.0.x的服务器受到了针对phpBB (或其插件)的MySQL注入攻击的攻击。某些信息被泄露了,但我们不知道泄漏的程度。通过检查日志可以确定哪些信息被泄露了吗?谢谢!
浏览 0
提问于2015-02-02
得票数 1
回答已采纳
2
回答
在什么情况下我的网站容易被点击?
vulnerability
、
clickjacking
我读过的大多数例子都是从恶意网站开始的。让我说,我正在创建一个没有恶意意图的网站。网站什么时候变得容易被点击攻击?在没有XSS漏洞或我的服务器被破坏的情况下,这种情况会发生吗?如果是这样的话,是怎么做的?
浏览 0
提问于2019-03-12
得票数 3
回答已采纳
1
回答
权威DNS服务器也解决任何其他领域--这是一种风险吗?
dns
、
dns-domain
在我的组织(庞大的金融机构)中,有4ns服务器被ns DNS记录定义为我们所有公共网站的权威DNS服务器。但是,我发现那些DNS服务器如果被查询到任何其他域,也会发送响应。 我不知道这种行为是否有安全风险。参考资料也将不胜感激。
浏览 0
提问于2018-07-10
得票数 1
1
回答
为什么Silverlight或Flash不实现UDP套接字?
flash
、
silverlight-4.0
、
udp
我读到过一些浏览器插件支持UDP套接字(例如Java,Unity),但是最流行的插件Flash却不支持UDP套接字!?我最喜欢的Silverlight也不是。 现在,我知道Silverlight 4.0 Beta有多播UDP套接字,但这些套接字在公共互联网上是无用的,这就是我想要使用我为浏览器内应用程序构建的东西。我知道Flash 10有RTMFP,但它仍然不能作为UDP单播套接字工作。 因此,我听说过一些关于UDP是安全风险的理论,但我真的不明白它为什么比TCP更具风险,或者策略服务器如何不能减轻这种风险。请给我解释一下这是怎么回事。谢谢。
浏览 1
提问于2009-12-17
得票数 6
回答已采纳
4
回答
黑客是如何截获信息的?
man-in-the-middle
、
sniffer
、
tls-intercept
人们常说,使用加密的主要原因是中间人(听者)无法理解各方之间交换的消息,即使他们拦截了它。但是,忽略了如何才能真正拦截消息,不管消息是否加密。在凯撒时期,很明显敌人可以通过实际抓捕信使来拦截信息。因此,他们开始使用密码来加密他们的通信。但在数字世界里,这到底是怎么回事呢?我的问题是: 黑客是否有专门的硬件来拦截数字信息,或者任何拥有标准计算机和互联网的人都能做到? 黑客有特定的软件吗? 任何装置都能被攻击吗?(电话..。)
浏览 0
提问于2016-10-18
得票数 0
2
回答
同步客户端-服务器操作
mmo
、
rpg
、
timer
、
node.js
处理服务器和客户端都被检查的事件,比如攻击,通常的方法是什么?有一个冷却时间计时器的攻击,客户是知道的(因此,为了防止垃圾邮件服务器请求和攻击按钮被持有)。 接下来,在权威服务器上有一个冷却定时器。我的问题是,有时对客户端的攻击不会在服务器上执行,因为服务器计时器(serverFrameTime - lastAttackFrameTime > attackCooldown)没有计算到所需的时间,因此这些攻击都是对客户端的“空白”攻击。 有没有一种标准的方法来处理这个问题而不发送太多的消息呢?这对我来说是个问题,因为我可能会触发更多的那些事件和更多的计时器,所以不点击自动攻击对我来说不是一
浏览 0
提问于2016-02-11
得票数 5
1
回答
私用RSA密钥的集中存储
rsa
、
public-key
、
symmetric
、
pbkdf-2
、
pgp
我从事多用户项目,用户可以在其中共享数据。用户上传到服务器的数据将在客户端携带对称密码之前被加密,然后将对称密钥用公共RSA算法加密给用户(基本的PGP)。通过这种方式,我可以保证未经授权的用户不会访问数据,即使他们能够获得对服务器的根访问。 问题是我应该如何处理私密的RSA密钥。通过使用公钥加密技术,用户非常容易被锁定在包含私钥的设备上。但假设用户希望在智能手机、笔记本电脑和台式机之间切换。在我将私钥上传到中央服务器之前,用对称密码加密私钥并使用PBKDF2迭代密码是否安全? 还是有更好的方法在多个设备之间共享私钥?
浏览 0
提问于2017-02-24
得票数 4
1
回答
客户端密码延伸-有公开盐的危险?
authentication
、
passwords
、
pbkdf-2
当然,在使用客户端密码扩展(加上服务器上的一个散列)时,服务器需要在身份验证之前发送salt。 虽然盐被认为不是真正的“秘密”,但公开的盐是否是拒绝这种方法(即客户端密码扩展)的一个严肃考虑? 这个答案 (有600多张选票)表示,保密是很重要的。我知道很难衡量某件事有多重要,但如果你能给我一些想法,那将是有帮助的。客户端这样做的原因是为了减少DDOS攻击。
浏览 0
提问于2018-07-10
得票数 0
回答已采纳
1
回答
检查向量是在另一个方向后面,还是相反方向?
networking
、
vector
我正在做一个网络游戏,在客户端,我用服务器发送的外推位置插值客户端的位置。客户端有自己的物理模拟,由服务器分步骤进行校正。问题是,当它滞后,我‘踢’球,服务器收到一个延迟的消息,并发送给我的位置向后的客户位置,使球来回。我想忽略这些,也许在服务器上对此进行补偿,但不确定。问题是,在这些情况下,时钟的差异是0.07ms或0.10ms,我想忽略这个信息不是很高。 当我得到服务器位置时,我用时钟间隔* serverBallVelocity推断 我能检查一下我的新球服务器位置是否在我的实际球矢量位置后面吗?我试图使用点乘积后,标准化两个向量,以检查他们是否是相对的,但它没有正常工作。 对此有什么建议吗
浏览 0
提问于2011-10-25
得票数 2
1
回答
为了DHE_RSA_..。密码套件RSA是用来做什么的?
tls
、
rsa
、
cipher-selection
、
diffie-hellman
除了使用DHE实现PFS之外,当服务器的私钥被泄露时,我们希望尽可能少地被公开。那么,RSA在DHE_RSA密码套件中的用途是什么呢?在密钥交换期间,服务器签署了什么?
浏览 0
提问于2013-12-01
得票数 3
回答已采纳
2
回答
"code_verifier“在OAuth 2.0中的意义是什么?
oauth-2.0
、
pkce
在PKCE中,我了解到code_verifier用于生成代码挑战,随后授权服务器验证此code_verifier值以完成PKCE过程。 这个code_verfier值有多敏感?这个价值一定要保密吗?如果这个值被泄露,敌人能执行什么攻击?
浏览 1
提问于2019-04-10
得票数 5
回答已采纳
3
回答
DDoS攻击-数据包被丢弃在哪里?
ddos
我正在研究ddos攻击以获得更好的理解。我从这个社区读了很多书,但是有一件事我无法理解,那就是丢包。 因此,假设我已经识别了一个攻击签名,并希望丢弃这些数据包。 攻击者-------------跳----------跳-------跳------我的服务器 在那个阶段,如果包是由我配置的,那么丢包,而不是意外的丢包。 如果它们被丢弃在我的服务器上,这有什么帮助,因为数据包已经到达,因此占用了带宽。还是说丢包只是一种避免发送应答的技术,因此攻击者必须等待超时?
浏览 0
提问于2015-07-24
得票数 6
1
回答
当客户端发送RST数据包时,服务器会关闭连接吗?
iptables
、
spoofing
我想做的是用IPTables阻止RST攻击。 当我搜索它时,我看到带有RST标志集的数据包被速率限制的规则。 我有点怀疑。我想我需要限制RST / ACK,而不是RST 如果我没有弄错,当客户端决定中止现有连接时,服务器将接收到RST / ACK数据包,服务器将使用ACK进行响应并关闭连接。 因此,服务器通常从不获取或发送RST数据包。我觉得总是RST / ACK 除非客户端被欺骗,并且攻击者插入RST标志。 但为什么要关闭连接呢? 我可能错了,因为我到处都看到了,但我认为攻击者需要插入RST / ACK,不是吗? 服务器不能看到RST / ACK与没有ACK的RST之间的区别
浏览 0
提问于2012-04-22
得票数 1
2
回答
能否从单个客户端执行缓慢的Post HTTP攻击?
http
、
attacks
、
denial-of-service
、
web
能否从单个客户端执行缓慢的Post HTTP攻击? 以下来源引用了这一行:https://medium.com/fantageek/understanding-socket-and-port-in-tcp-2213dc2e9b0c 端口为16位数,因此任何给定客户端与任何给定主机端口的最大连接数为64K。 但从最高峰开始。服务器可以处理的连接数量通常比上述限制要大得多(大约300 K,但可伸缩),我假设慢Post HTTP攻击只能作为DDoS攻击(使用一个以上的客户端)。 但是我也可以看到关于缓慢的Post HTTP攻击的描述是DoS攻击。就像。https://blog.qualys.com/
浏览 0
提问于2020-07-17
得票数 0
5
回答
大多数MiTM攻击是对模拟网站进行的,还是只是对通信量进行解密?
tls
、
certificates
、
public-key-infrastructure
、
attacks
、
man-in-the-middle
我读到的关于冒充网站的文章越多,我就越困惑。攻击者是否需要服务器的私钥才能模拟网站,或者拥有私钥只会使他有解密通信的能力? 当我想到模拟一个网站时,我想到了一个碰撞攻击,其中一个md5散列被破坏了,然后可以使用一个假证书来使用一个新的密钥对来有效地模拟一个网站。 当我想到一次MiTM攻击时,我想到的是一种攻击,在这种攻击中,处于中间的人获取服务器的私钥,并在客户端和服务器之间来回转发通信量,从而允许攻击者解密和查看所有通信。对我来说,这不是“冒充网站”。有人能澄清一下我的困惑吗?
浏览 0
提问于2014-10-02
得票数 0
回答已采纳
1
回答
如何确保这种简单的无线电通信不受重播攻击
wireless
在我目前的项目中,我很少有TCP 32‘S通过TCP连接到服务器。这些静电除尘器分布在300米的范围内。 每小时一次,服务器请求(随机)选择ESP,以指示空中的帧。这些被称为"BEACONERS“ 同时,服务器要求很少其他(随机)选择的ESP嗅探空气和寻找这些信标,一旦找到-返回到服务器。这些叫做“嗅探器”。 他们每个人(暗影者,嗅探者)都有30秒的“上电视”。 信标帧以纯文本形式输出,它由一个只有信标者和服务器才知道的值组成。这个值随着时间的推移而变化,信标者从来不会发送相同的值两次。 一旦被嗅探器接收到,信标唯一的id和值将返回给服务器,然后服务器验证如下: 信标者的身份证被归还给
浏览 0
提问于2021-11-24
得票数 0
回答已采纳
3
回答
crackers如何将php脚本上传到Wordpress的wp-内容目录?
php
、
wordpress
我看到了一个站点,它被上传到Wordpress的Wordpress/uploads目录中的php脚本(大概是某种shell,或者加载shell的代码)所攻击。通常,这个目录用于用户上传的内容,如照片等。这个特定的服务器被配置为为Internet上的任何用户运行恶意脚本(知道正确的URL)。 这是怎么回事?破解者如何让wordpress将php文件放置在没有用户帐户的上载目录中?我这只是声名狼藉和不具体的“是啊,wordpress不是安全”的问题吗?
浏览 0
提问于2014-04-05
得票数 14
回答已采纳
2
回答
在TLS,中间人的攻击是如何防止的?
tls
、
man-in-the-middle
、
tls-intercept
、
snooping
据我了解,用于加密应用程序数据的原始主密钥从不通过有线传输,它是在客户机和服务器上单独使用类似哈希函数计算的,该函数以下列输入为输入: 客户随机 服务器随机 用服务器的公钥加密的主密钥。 如果中间人捕获TLS握手数据包,如果他以某种方式拥有服务器的私钥,那么他能够生成主密钥吗?那么,服务器的私钥是防止中间人攻击的唯一保护措施吗? 在mTLS中发生了什么,其中客户端也共享其证书(公钥)?它会改变主键的生成方式吗?
浏览 0
提问于2022-04-15
得票数 1
1
回答
区分机器人和合法客户
denial-of-service
、
ddos
、
botnet
如果一次攻击(DoS & DDoS)涉及数千个机器人,那么服务器如何将它们与合法客户端区分开来呢?
浏览 0
提问于2014-11-05
得票数 1
1
回答
改变IP源以减轻DDOS的最佳方法
webserver
、
ddos
、
ipv6
源ip地址可以被欺骗。而且,由于IPv6的存在,仅保留一个被排除在访问网站之外的ip地址的查找表是不够的,因为使用ipv6,现在有足够的ip地址供单个发件人在send服务器上发送探测请求的五分位数。 考虑到这一点,哪些新的方法可以缓解web服务器的IP转发DDOS探测? 是白名单个人注册用户ip地址和____的唯一解决方案吗?
浏览 0
提问于2021-03-02
得票数 1
3
回答
SQL注入是客户端攻击还是服务器端攻击?
sql-injection
SQL注入是什么类型的攻击?我很困惑,因为这种攻击是通过客户端进行的。然而,攻击者的目标是一个“在服务器后面”的数据库。2017年OWASP前10名攻击大多是服务器端攻击,但攻击是通过客户端执行的。有人能解释一下为什么他们被归类为服务器端吗?
浏览 0
提问于2018-10-12
得票数 0
回答已采纳
1
回答
oom_reaper:内存中的MongoDb
mongodb
、
memory-usage
、
oom
、
outofmemoryerror
我们使用Debian 11和mongodb 5.0.6在三个裸金属服务器(没有虚拟化、没有docker/kubernetes)上运行一个小型mongodb副本集: machineA: 128 8GB内存,1TB磁盘,主machineB: 128 8GB,1TB磁盘,二级machineC: 8GB RAM,20 8GB磁盘,仲裁器 突然之间,我们在应用程序日志(如"NotWritablePrimary"/"MongoNotPrimaryException“)中出现了错误中断--我们假设连接字符串将确保不会发生中断: mongodb://machineA:27017,mac
浏览 0
提问于2022-06-16
得票数 2
1
回答
OAuth“状态”是否减轻任何真正危险的攻击?
oauth-2.0
、
openid
、
openid-connect
我使用来更好地理解OpenID连接流,它可以这样说来验证state参数: 用户被重定向回客户机,您将注意到URL中有一些额外的查询参数: ?state=7ymOWcwttpCfDNcs&code=Tav2TPBjSNvR8aowA3oe 由于攻击者可以创建类似于此的GET请求,因此攻击者可以向您的应用程序提供垃圾授权代码。您需要首先验证state参数是否与此用户会话匹配,以确保您启动了请求,并且只发送了为您的客户端准备的授权代码。 基于这一解释,我们使用状态参数防止的唯一“攻击”似乎是攻击者发送我们的应用程序错误代码,我们根据授权服务器检查坏代码,然后被拒绝。 但是afaict
浏览 0
提问于2018-09-22
得票数 1
回答已采纳
1
回答
Facebook安全
facebook
我收到了一条被称为Facebook安全的信息,上面说我在虐待他人,这是我最后一次警告。我有24小时的时间来修理它(反正我说了些接近那个的话)。我完全不知道这是怎么回事。请帮我弄清楚到底是怎么回事。我的Facebook ID是http://www.facebook.com/#!/bwcarner
浏览 0
提问于2011-11-29
得票数 -1
3
回答
服务器端SSH密钥受损
attacks
、
ssh
、
attack-prevention
、
key-management
我感兴趣的是,如果主机的服务器端SSH密钥被破坏,后果可能是什么。 目前的情况是: 攻击者设法读取服务器的SSH私钥。 攻击者可以使用MITM与主机的任何连接(因为他正在控制路由器,或w/e)。 这是否意味着攻击者现在可以读取通过任何SSH连接的任何数据?我会说不,因为一些密钥交换算法,如Diffie-Hellman。对吗? 我的猜测是,攻击者所能做的最糟糕的事情就是模拟服务器,导致用户登录他的系统而不是合法的系统。
浏览 0
提问于2014-04-04
得票数 8
回答已采纳
扫码
添加站长 进交流群
领取专属
10元无门槛券
手把手带您无忧上云
相关
资讯
服务器被DDoS攻击?如何缓解DDoS攻击?
服务器被攻击了怎么解决
怎么处理网站服务器被攻击?
黑客攻击事件频频发生,如何避免服务器被攻击?
服务器被攻击怎么办
热门
标签
更多标签
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM
活动推荐
运营活动
广告
关闭
领券