2回答
为什么软件配置管理工具(SCM)只对客户端而不是服务器进行身份验证?
authentication、certificates、public-key-infrastructure、software、scm
我已经注意到,可能所有4种流行的软件配置管理工具,即:可抗可抗食盐这里描述了如何提供木偶木偶身份验证。攻击者不可能假扮成MITM来运行傀儡服务器攻击吗?服务器对客户端进行身份验证是否以某种方式提供了相互认证?
浏览 0提问于2017-09-17得票数 0
回答已采纳
1回答
在OpenVPN和Wireguard连接上有可能发生ARP攻击吗?
openvpn、arp-spoofing
我很好奇连接到VPN的用户是否有可能对OpenVPN或Wireguard服务器的同一子网上的其他用户执行ARP欺骗/中毒攻击。OpenVPN和Wireguard在默认情况下是否提供内置的抗ARP攻击的缓解功能&如果是的话,这种保护可以被恶意服务器或受损服务器禁用吗?
浏览 0提问于2019-02-28得票数 0
1回答
安全编码/原始面: p:inputText的抗操作验证
html、validation、security、primefaces、limit
我正在寻找一个用户输入的抗操作验证。我可以避免攻击者通过以下代码初始化使用过的Primefaces服务器端验证器的basicView.text或参数:防止攻击者引发OutOfMemory的最佳方法是什么?
浏览 4提问于2020-06-07得票数 1
回答已采纳
1回答
给定响应的定时攻击抵抗下服务器工作负载的有用性
server、timing-attack、side-channel
我在过去读过一些文章,讨论了在知道评估的时间会泄露正在处理的数据的信息时,对信息进行定时抗攻击响应的重要性。这些文章不止一次地提到一些大意如下的内容:
如果每个响应都是在统一时间内处理的,则攻击者可以根据响应时间了解服务器处理的负载有多重。基本上,因为攻击者知道您的请求需要N毫秒才能正常响应,所以攻击者可以推断您的服务器处于重负载或轻负载下。但我还没有读过一份文件,说明为什么这些信息是有用的。
浏览 0提问于2016-01-18得票数 1
2回答
什么是最安全地发送信息的密码抵抗算法?
encryption、cryptography、appsec、.net、algorithm
寻找抗攻击算法,所以当我收到这个信息的另一边,我需要解密它。
通过TCP客户机/服务器发送信息。
浏览 0提问于2017-10-04得票数 -5
2回答
对于攻击者来说,用暴力迫使从网络捕获的NTLMv2响应是可行的吗?
authentication、windows、ntlm
,以及攻击者通过嗅探网络捕获上述NTLMv2响应的难度有多大--强制它进入密码。由于散列包含随机服务器挑战(SC),它已经使其变得困难。但是,假设攻击者一直在嗅探,并且在服务器将SC发送到客户端时已经捕获了SC。攻击者还应该能够从响应中看到客户端的挑战(CC & CC*)对吧..。那么,这是否意味着攻击者可以进行野蛮攻击--强制将NTV2或LMV
浏览 0提问于2017-09-10得票数 3
回答已采纳
1回答
如何像facebook一样在firebug中保护/隐藏json数据
json、jquery
每当我使用jQuery-ajax向服务器请求检索在firebug中显示的数据时,这是不安全的或可被黑客攻击的。即使是facebook和google+也隐藏了他们的json数据,但如何隐藏呢?
浏览 2提问于2013-01-31得票数 0
回答已采纳
1回答
是什么使散列函数对密码哈希有好处?
hash、passwords
使用密码散列将例如密码存储在数据库中被认为是良好的做法(而不是存储明文),但如果数据库受到破坏,则会受到对所述加密散列的攻击。
密码散列函数的哪些属性使其适合于散列密码等?
浏览 0提问于2011-07-12得票数 60
回答已采纳
1回答
盐渍密码散列是否显示密码的信息?
collision-resistance、password-hashing
如果哈希和salt是公开的,攻击者可以通过哈希函数运行可能的密码候选程序来尝试最终找到正确的密码,从而执行攻击。这里的假设是,如果哈希函数产生正确的输出,那么它就是正确的输入,对于抗碰撞的散列函数,这通常是正确的。如果这件事被公诸于众,什么样的攻击可能会发生呢?
我并不是说服务器应该只使用截断的散列进行身份验证。我纯粹是在考虑被截断的散列公开的安全性问题。
浏览 0提问于2023-02-06得票数 1
1回答
像Hashcat、JTR这样的工具怎么能够野蛮地使用NTLMv2哈希呢?
brute-force、password-cracking、hashcat、ntlm、john-the-ripper
关于以下关于-forcing的可行性的问题,NTLMv2散列:对于攻击者来说,用暴力迫使从网络捕获的NTLMv2 2响应是可行的吗?该哈希聊天和JTRare如何能够在不知道公式中的服务器挑战(SC)和客户端挑战(CC,CC*)位的情况下对NTLM哈希执行此操作?列出如何进行攻击的文章随处可见,因此我试图了解攻击背后的实际机制。
浏览 0提问于2018-05-01得票数 3
1回答
dns反射攻击与dns放大攻击
dns、ddos
在过去的几周里,我听到了关于DNS反射攻击和DNS放大攻击的讨论。DNS放大攻击是一种基于反射的分布式拒绝服务(DDoS)攻击.攻击者欺骗对域名系统(DNS)服务器的查找请求,以隐藏攻击源并将响应定向到目标。DNS放大攻击定义2:
DNS放大攻击是一种分布式拒绝服务(DDoS
浏览 0提问于2015-07-13得票数 12
回答已采纳
1回答
奇怪的会话管理错误,当将环的“环绕-默认”和lib-黑尔的“环绕-黑色-会话”混合时
clojure、ring、lib-noir
即使客户端提供了Set-Cookie报头,服务器仍继续发送Cookie报头。通过试用和错误,我发现当我禁用ring的抗伪造包装器时,相同的会话在不同的请求之间存在: (session/wrap-noir-session为什么是这样,我如何在不冒CSRF攻击风险的情况下解决我的问题?
浏览 4提问于2017-07-23得票数 0
回答已采纳
2回答
这是密码重置电子邮件的安全实现吗?
protocol-design、authentication
我的目标是生成重置代码,这些代码是:抗篡改性抵抗重放攻击B64( B64( iv ) || B64( E( uid || timestamp ) ) )我使用AES 256在Galois计数器模式,这应该提供保护,以防止修改的密文攻击。iv具有双重用途。生成重置代码时,iv将与数据库中的用户一起存储。如果服务器上的加密密钥受到某种程度的破坏,这也有助于提高安全性,因为攻击者还必须将iv注入数据库以
浏览 0提问于2012-07-20得票数 8
回答已采纳
1回答
将MySQL数据库与实体框架错误连接
c#、mysql、asp.net-mvc、entity-framework
我用实体框架和MySQL开发了一个ASP.MVC 5应用程序。在当地,我经营成功。但是当我移动到主机并运行它时,会抛出异常。
System.Data.Entity.Core.ProviderIncompatibleException:从数据库获取提供程序信息时发生错误。这可能是使用不正确的连接字符串的实体框架造成的。检查内部异常的详细信息,并确保连接字符串是正确的。-> System.Data.Entity.Core.ProviderIncompatibleException:提供程序没有返回ProviderManifestToken字符串。-> MySql.Data.MySql
浏览 2提问于2016-07-14得票数 0
回答已采纳
1回答
DNS洪泛攻击与DNS放大攻击的区别
attacks、dns、ddos、denial-of-service
我试图了解DNS洪水和DNS放大器攻击。我已经看过定义了,还很困惑,你能给我举个例子或者告诉我它们之间的区别吗?
似乎DNS放大器攻击不仅反映,而且“放大器”的流量,我怀疑这是主要的区别在这里。我是否可以说,如果攻击者将数据包发送到一个DNS递归程序,那么它就是DNS洪流(数据包的数量与send相同),以及多个递归器,那么这就是放大器攻击。
浏览 0提问于2018-08-16得票数 2
1回答
如果我有一个强密码,我需要fail2ban吗?
passwords、ssh、fail2ban
在我的VPS web服务器上安装fail2ban有什么好处吗?据我所知,Fail2ban的唯一目的是阻止来自同一个IP地址的连续密码登录,从而阻止野蛮攻击和字典攻击。如果我有一个随机生成的12个字符密码,其中包含小写、大写字母、0-9位数字和美国标准键盘上的符号字符,所有这些都相当于69位熵(根据keepass的说法),那么是否有任何现实的情况,强迫我的ssh根登录可以破坏我一直在线的
浏览 0提问于2020-01-22得票数 1
回答已采纳
云服务器
对象存储
ICP备案
云点播
腾讯会议
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号