2回答
我有一个SSH服务器,用户可以用他们的用户名和密码登录到那里。我想防止那些试图窃取用户密码的攻击。用户第一次连接到我的SSH服务器,或者从新的PC (从公共/折衷网络)连接。攻击者将他的公钥而不是真正的服务器密钥发送给用户。用户在身份验证阶段向攻击</
浏览 0提问于2021-02-06得票数 2
回答已采纳
1回答
编辑:如果一个客户访问我的网站(通过微软的CDN网络为jQuery服务),他/她的DNS被攻击者欺骗,攻击者模仿微软的CDN。在这种情况下,理论上攻击者应该能够运行任意的javascript代码。有什么办法防止这种情况发生吗?还是应该停止直接链接CDN服务器?
浏览 0提问于2012-07-26得票数 2
1回答
讨论了该协议的协议、流行的实现和攻击。
我对SSL/TLS web服务器中的安全漏洞进行了调查,并利用了一些漏洞。为此,我找到了一份很好的论文SSL/TLS服务器的密码强度:当前和最近的实践。基本上,我想做与本文相关的工作,即通过扫描web服务器列表来查找仍然存在的安全漏洞。此外,还有一些在线工具,比如ssllabs。
浏览 0提问于2016-03-29得票数 3
回答已采纳
我知道这主要是为了防止CSRF攻击。它并不阻止攻击者访问端点本身,但它确实防止攻击者在攻击者控制的域中无意中利用AJAX请求劫持不知情的用户浏览器访问端点。我的问题是,在实现API到API通信时,验证请求来源有什么好处吗?除了验证API密钥之外,服务器还应该检查请求的主机以确认它来自可信的API服务器吗?还是请求主机很容易被欺骗(因为请求来自另一个服务器,完全控制了它在HTTP请求
浏览 0提问于2017-12-10得票数 5
即使客户端通过SSL与服务器通信,URL也能被嗅探到吗?我之所以问这个问题,是因为我正在进行远程登录&通过URL重定向到物理上不同的服务器,并且想知道通过SSL保护通信是否可以防止重放攻击等。
浏览 12提问于2009-09-18得票数 3
回答已采纳
TLS_FALLBACK_SCSV旗子被吹捧为防止狮子狗的一种方法,它滥用了将SSLv3降级为TLS的可能性。实现此标志是否可防止类似的降级攻击(例如,怪胎、僵局)?据我所知,TLSv1.2没有导出密码,因此如果不能实现降级(假设客户机和服务器都支持它),应该可以防止导出级的降级。
我的推理正确吗?这是有效的保护吗?
浏览 0提问于2015-05-22得票数 9
1回答
我刚刚开始学习安全知识,如果这个问题被认为是基本的问题,我很抱歉。我说的对吗?SSL/TLS可以防止cookie篡改,但实际上并不能防止窃取和/
浏览 0提问于2018-07-08得票数 3
回答已采纳
当用户在web应用程序的登录表单中输入他的凭据时,凭据可以通过恶意扩展(用户已安装的扩展名)进行黑客攻击。现在,假设恶意扩展希望将被黑客攻击的凭据传递给攻击者的服务器,则可以通过web的相同来源策略来防止它。但是,将凭据传递给攻击者服务器的另一种方法是通过弹出窗口将捕获的详细信息在URL中解析并传递给攻击者的服务器。窗户可以立即关闭。尽管这种攻击的可能性非常小,用户可以很容易地看到,但不可否认的是,这并非不可能。平均
浏览 0提问于2017-06-07得票数 1
有时我的服务器上有ddos攻击。我在努力阻止这一切。我使用Nginx来提供静态内容,并将其用作反向代理,使用Apache来服务php应用程序。
当攻击开始的时候,我有很多。但是,如果有很多攻击者,我仍然每秒钟有400个请求,但来自不同的IP。所以我很难阻止它,因为Nginx中的IP连接速率限制在这种情况下是行不通的。我在那台服务器上有大约100个网站。在攻击期间,Nginx工作正常,但是Apache完全死了,Nginx不仅不能连接受攻击站点,而且不能连接服务器<
浏览 0提问于2016-02-11得票数 0
这篇文章强调了开放的DNS解析器是如何被用来在互联网上创建DDOS攻击的。如何识别我们的DNS服务器是否已打开?如果我发现我们正在运行开放的DNS服务器,我如何关闭它们以防止它们在DDOS攻击中被滥用?
浏览 0提问于2012-11-12得票数 10
回答已采纳
1回答
oAuth流中授权码的主要用途是防止重放攻击,TLS也可以防止重放攻击。
如果您只是使用TLS向启用了oAuth的服务器发出密码授予请求,这还不够吗?
浏览 3提问于2020-09-07得票数 0
这为防止数据篡改和逆向工程提供了足够的保护。但是流量仍然容易受到重放攻击:有人可以捕获网络流量并重放它,而服务器会接受请求,因为它不知道它是真实的还是重放的。为了对抗这种情况,引入了时间戳和非and,以防止重播攻击。这就引出了一个问题:是否仍有必要使用自定义加密和
浏览 5提问于2017-02-17得票数 2
我们有一个java服务器-客户端应用程序,在客户端有一个applet。有什么方法可以防止从服务器外部使用applet吗?(我们服务器上的html页面)。
浏览 3提问于2009-12-19得票数 1
回答已采纳
我在网上读到了一些关于使用OAuth2参数防止CSRF攻击状态请求的文档。但是,我的理解是,状态参数虽然是随机的和不可猜测的,但仍然是请求URL的一部分,并且很容易被攻击者复制,然后攻击者可以截获服务器响应,更改一些信息,然后恢复从初始请求读取的状态值。你能告诉我这里我错过了什么吗?
浏览 20提问于2019-07-09得票数 2
我使用来更好地理解OpenID连接流,它可以这样说来验证state参数:
?state=7ymOWcwttpCfDNcs&code=Tav2TPBjSNvR8aowA3oe
由于攻击者可以创建类似于此的GET请求,因此攻击者可以向您的应用程序提供垃圾授权代码。基于这一解释,我们使用状态参数防止的唯一“攻击”似乎是攻击者发送我们的应用程序错误代码,我们根据授权服务器检查坏代码,然后被</em
浏览 0提问于2018-09-22得票数 1
回答已采纳
据我所知,我需要在报头服务器端禁用X- XSS -Protection,以防止XSS通过GET请求发生。http://mysite.com/index.php?page=<script type='text/javascript'> alert("XSS"); </script>
假设$_GET' page‘被从PHP回显到页面,而没有以任何方式被更改,XSSAuditor应该捕捉
浏览 4提问于2013-07-23得票数 1
我理解使用HSTS运行网站可以帮助防止攻击者使用K架降低网站的等级以服务HTTP请求。IIS为网站设置了一个只能要求SSL请求的设置。这是否足以防止攻击者使用SSLstrip将HTTPS降级为HTTP?我假设the服务器将无法提供非HTTPS流量,对吗?
浏览 0提问于2017-10-17得票数 2
状态(推荐)状态参数被应用程序用来存储特定于请求的数据和/或防止攻击。授权服务器必须将未修改的状态值返回给应用程序。
但我不清楚国家如何防止CSRF攻击。
浏览 0提问于2017-04-27得票数 0
2回答
验证客户端真实性
、、
我用HTML5构建了一个游戏,一个web表单将数据发布到服务器上。这种架构不是很容易受到攻击吗?在这种情况下,客户端可以被修改,从而发布流氓的值,而不是计算的分数。
我如何才能防止这种情况发生?
浏览 1提问于2012-06-19得票数 0
回答已采纳
我在谷歌上搜索了一下,发现spf记录被用来防止电子邮件欺骗。但我不太明白这是怎么回事。我想简单地了解以下几点。使用-而不是~有显著的区别吗?例如:和spf记录实际上能防止攻击者欺骗我的邮件<em
浏览 0提问于2015-06-14得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
腾讯会议
云直播
对象存储活动推荐
腾讯云开发者
