我注意到大量服务器端HTTP客户端库默认接受不可信的TLS通信。。例如,DNS缓存中毒可以用使用自签名证书的攻击者替换来替换真正的端点。还有其他人吗?
浏览 0提问于2016-02-24得票数 1
回答已采纳
即使客户端通过SSL与服务器通信,URL也能被嗅探到吗?我之所以问这个问题,是因为我正在进行远程登录&通过URL重定向到物理上不同的服务器,并且想知道通过SSL保护通信是否可以防止重放攻击等。
浏览 12提问于2009-09-18得票数 3
回答已采纳
1回答
Facebook的全部数据是否有可能被一组恶意的个人,甚至政府所消灭?远程或物理上。
如果是这样的话,你认为他们会怎么做? Facebook需要什么样的安全措施来应对其数据中心的远程攻击或物理攻击?
浏览 0提问于2015-04-02得票数 1
备份是加密的客户端,并存储在物理安全的服务器上。考虑到我的文件已经被加密了,是否值得像GnuPG建议的那样用密码来加密我的私钥?如果是,请描述攻击漏洞(S),该漏洞使攻击者能够盗取我的私钥文件,而不是盗取我的密码。相对于那些陆克斯已经防御的攻击(例如从我的行李中抓取笔记本电脑)和那些将击败LUKS和GnuPG密码的攻击(例如邪恶的女佣或远程代码执行秃鹫,两者都可以安装键盘记录器),这种攻击有多实际?
浏览 0提问于2019-03-01得票数 4
回答已采纳
例如,我知道对TPM进行物理攻击是可能的,其中一些攻击可能会提取秘密。但是,我天真地想象,如果这些秘密(假设BitLocker驱动器的主密钥)是用PIN加密的,那么如果不知道这个PIN (除非直接攻击底层的加密算法),几乎不可能获得这些秘密。它是这样工作的吗?或者秘密被清楚地储存起来,而TPM只是在检查PIN是否正确之后才释放它们?
最后,我知道,在攻击者获得全部物理访问的情况下,总是有可能绕过这些措施(物理密钥记录器来检索PIN,等等)。但我想到的情
浏览 0提问于2017-07-19得票数 3
1回答
如果未经授权对正在运行的服务器进行物理访问,我知道攻击者可以通过JTAG将RAM中的密码提取到主板或其他法医设备上,并对磁盘进行解密。在未经授权的物理访问正在运行的服务器的情况下,是否有任何方法来减少数据泄漏的可能性?
浏览 0提问于2018-09-10得票数 2
回答已采纳
我们使用部署在CentOS服务器上的。恶意、非特权用户可以利用此漏洞在沙箱环境之外读取特权系统内存和
浏览 0提问于2018-05-23得票数 0
回答已采纳
我有一个(物理上的,不是Azure VM!)使用Azure备份自动备份其文件的Windows服务器。
如果服务器被破坏,攻击者可以对备份造成多大的破坏?我已经做过的研究:我认为攻击者所能造成的最严重的伤害是将保留时间缩短到最少7天,从而破坏超过一周的备份。这个问题是关于Azure管理凭证被泄露的情况。我的问题是,只有金库注册的服务器才会受到破坏,但管理凭据是安全的。
浏览 0提问于2016-02-25得票数 3
回答已采纳
1回答
假设一台带有热可换硬盘驱动器的全磁盘加密计算机已开启(即由受信任的用户在启动时解密),但屏幕被锁定。在这种情况下,如果具有物理访问权限的攻击者要移除其中一个磁盘(不是整台计算机,只是一张磁盘),他们是否可以自由访问存储在其中的数据?就像,把磁盘装到另一台电脑上,然后开始浏览?注意:我知道,具有物理访问权限的攻击者除了我提到的攻击向量之外,还有无数的攻击矢量,因此“不允许物理访问”是首要的缓解措施。我能找到的唯一的相似问题是整个计算机都被抓走了,而不仅仅
浏览 0提问于2017-01-24得票数 1
回答已采纳
一家流氓主机公司可以对它的服务器进行哪些攻击?假设流氓托管公司也提供完全的执法权限。编辑:为了澄清,我不是在问服务器通常面临的远程攻击,如SQL注入或SSH上的蛮力。但攻击可能只来自主办公司,而不是其他人。(我看到的一个例子是托管公司对您的服务器进行快照,并在其他地方运行)。
浏览 0提问于2015-07-19得票数 0
如何确保我的Linux服务器运行在一个非虚拟化的真实机器上?这就是我正在考虑的情景:我在数据中心租了一些架子放在那里,马洛里拍下了磁盘的图像修改了KVM或任何类似的虚拟机管理程序,以模拟我的服务器运行的完全相同的硬件,
知道所有已知的逃逸-管理程序或检测-管理程序攻击,并已修补管理程序,以抵消他们(所以没有红色药丸和类
浏览 0提问于2012-02-04得票数 6
回答已采纳
现在的问题是:我如何减轻流氓AP攻击?上述问题的答案对提供服务器身份验证的所有802.1x方法有效吗?附加注意事项:
我知道在我自己的网络中可能会有攻击</
浏览 0提问于2017-03-16得票数 3
回答已采纳
我有一个有趣的用例,用户需要对运行在可能无法访问internet或甚至无法访问身份验证服务器的环境中运行的应用程序进行身份验证。我已经研究过诸如Protectimus和Gemalto之类的OCRA服务,以及RSA SecurID,但是为了验证它们似乎都要求应用程序调用其服务器的挑战响应。
浏览 0提问于2017-10-13得票数 1
我希望有一种方法之间的通信和Apache服务器和运行在Linux笔记本电脑上的应用程序。加密在这种情况下会出现吗?在这种情况下,攻击者可以嗅探数据吗?
另外,如果这确实是一个好主意,有没有人有关于如何用perl或python实现
浏览 1提问于2013-01-14得票数 1
回答已采纳
1回答
我被要求对各种数字签名方案的攻击进行研究。有一件事困扰着我,我找不到一个直接的答案。对于基于素数(如RSA)攻击的数字签名是理论上的,例如“选择密文攻击”或“已知明文攻击”,一个很好的来源可能是"20年来对RSA密码体制的攻击“。对于基于椭圆曲线密码的数字签名攻击纯粹是物理攻击,例如“故障攻击”或“侧通道攻击”,一个典型的来源是"故障攻击综述“。
为什么对ECC
浏览 0提问于2014-12-14得票数 2
1回答
然而,我想考虑一种特定的场景,其中1)客户端是部署在设备上的应用程序,并且使用不可猜测的密码(如果被攻击者接管,在客户端设备上无论如何都是可用的);2)证书由部署服务器和客户端应用程序的组织拥有的私有CA签名;3)客户端不(需要)执行注销;4) TPM在设备上可用;5)攻击者可以物理访问持有证书/密码的设备。尽管如此,我不清楚具有设备物理访问权限的攻击者是否有机会在TPM将其移交给应用程序时读取该秘密。
想知道是否同样适用于密码。我没有在我的上下文中考虑撤销,
浏览 11提问于2021-03-12得票数 0
1回答
关于加密的使用,我有一个问题:因此,我认为为备份用户帐户设置/家庭加密并不是个坏主意。因此,访问/home文件夹的唯一方案是将键盘/显示连接到服务器,以根用户身份登录并更改为/home。还是我监督过一个场景?如果我是对的,您只能作为备份用户从“外部”访问/home-
浏览 0提问于2012-09-16得票数 4
回答已采纳
1回答
我知道很多人都问过同样的问题,但我认为这真的取决于网站的类型。这就是为什么我要问关于我的网站的问题。
我正在为一家保险公司开发一个PHP网络应用程序。应用程序包含有关客户的所有信息,但该应用程序仅供公司的管理员和推销员使用。管理员创建一个用户,然后该用户可以添加客户或续保他们的保险。地址将类似于example.com/manage/,并且登录仅针对管理员创建的用户。当然,我将使用验证、salt、加密等,但是我需要SSL证书吗?
浏览 0提问于2014-02-02得票数 2
回答已采纳
1回答
我在ovh.com上购买了服务器。(不是游戏,常规的)3天来,我一直在努力设置防御DDOS洪水的措施。什么都没出来。支持一天一次,不会给出一个明智的答案。因此,我呼吁你。如何配置防火墙以防止DDoS攻击?防火墙配置截图
浏览 0提问于2020-04-10得票数 0
这些程序使用TPM来防止需要攻击者具有管理员权限或对计算机的物理访问权限的攻击,而攻击者需要在这样的访问之后使用计算机。(攻击者稍后可能能够从该驱动器读取该驱动器,当他获得对计算机的物理访问时)。TPM将像HSM一样被使用,因此密码操作将在TPM中进行,而有关密钥的任何内容都不会存储在RAM中。你能确认一下吗?如果攻击者能够物理地访问计算机硬件(在进行这种访问之后使用它),他可以附加恶意组件(例如硬件击键记录器),以捕获密码、RAM内
浏览 0提问于2017-02-12得票数 6
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
云直播
对象存储
腾讯会议活动推荐
腾讯云开发者
