1回答
使用MongoDB数据库的node js应用程序是否容易受到恶意npm包的攻击?如果是这样的话,mongoDB对什么安全威胁免疫?(即跨站点脚本?)
浏览 39提问于2021-08-26得票数 0
2回答
在nginx访问日志中有很多条目,如下所示。我如何知道这些脚本的结果,以及我的服务器是否被破坏?04.232.209.188/
浏览 0提问于2016-01-14得票数 1
回答已采纳
Maven Central和JCenter易受打字攻击吗?一个人能通过拼写错误的工件ID获得恶意依赖吗?怎样才能消除风险呢?
浏览 2提问于2019-01-21得票数 4
回答已采纳
我的一个朋友遇到了最奇怪的问题,他的Fedora 20没有更新到(甚至找到)当前的内核3.16.3 (顺便说一句,也没有更新易受伤害巴什版本)。显然,它无法检测到对存储库数据库的重放攻击,因为他没有收到任何关于陈旧存储库状态的警告或错误消息。我会假设存储库概述是定期加盖时间戳和签名的,或者是在HTTPS上获取数据库的散列(或者通过HTTPS获取数据库的散列以减少加密通信量的带宽)。我知道每个包上的签名都会被检查,所以至少可以确保没有一个包可以安装到我的系统上,而不是由受
浏览 0提问于2014-09-25得票数 4
1回答
GraphQL动态查询SQL注入
、、、、
关于GraphQL及其易受SQL注入攻击的问题。假设我执行了一些动态搜索,用户在字段中输入文本,我将其用作graphQL搜索的参数。现在,假设一个用户试图在这里输入一些恶意代码,以擦除数据库或类似的东西(即1=1攻击)。这在这里行得通吗?GraphQL是否只是简单地将查询转换成SQL,因此这会有危险吗?或者,GraphQL会阻止这样的事情发生吗?
谢谢
浏览 3提问于2020-11-01得票数 0
1回答
人们说本地存储是不安全的,因为它可以使用javascript (易受XSS攻击)读取,并推荐仅使用http-only cookie。但是假设我的网站容易受到XSS的攻击,并且运行一些恶意代码来从我的API中获取数据。它应该仍然可以工作,因为cookie会自动添加到请求中,对吧?他们不知道cookie是什么,但请求最终仍然有效。有了XSS,恶意代码就会像来自我的网站一样运行。
我说的对吗?
浏览 0提问于2020-08-07得票数 0
但我不想让用户插入易受xss攻击的标签。我知道在ColdFusion中我可以使用htmlEditFormat(),encodeForHTML()来显示用户数据以防止XSS,但我只是想阻止它们插入到数据库中。因为我在CF10中,所以不能使用getSafeHTML()
有没有办法防止这些恶意输入插入到CF10中的数据库中。我可以进行客户端敏感化吗?
浏览 0提问于2014-09-26得票数 1
1回答
他们说在XHTML中注入恶意代码是可能的。
但我想知道目前的情况如何?是否仍然可以使用XSS攻击Vaadin框架?有人能给出一些简单漏洞的代码示例吗?如果Vaadin不再易受XSS攻击,那么(理论上)使用客户端漏洞的方法是什么呢?
浏览 0提问于2016-09-21得票数 1
我正在使用一些旧的代码,这是报告易受跨站点脚本攻击。document.write("<input type=hidden name=field1 value='" + getCookieValue('fieldval') + "' />");fieldval='><img src=x onerror=alert(1)>
浏览 0提问于2013-02-08得票数 3
回答已采纳
1回答
据推测,BadUSB恶意软件可以感染任何USB设备。但我觉得这很难相信,因为我不明白为什么大多数USB设备都会有可重新编程的固件,我发现更难相信iPhone可能会受到这种攻击。是否有任何证据表明iPhone易受BadUSB攻击?
浏览 0提问于2016-07-13得票数 6
目前,我有一个运行express的节点服务器和一个postgresql数据库。我知道postgresql支持UTF-8编码。我的前端是Angular的,我相信Angular会处理任何不安全的注入。我是否可以从Angular获取UTF-8字符,并通过我的node/express服务器运行它并进入我的postgresql数据库,而不会出现任何安全问题?node/express服务器是否易受注入攻击?
如果恶意用户设法绕过Angular并直接访问API以插入未转义的输入。如
浏览 0提问于2017-07-23得票数 0
high urgency"debsecan --suite stretch --only-fixed
为了使系统更加安全,我们可以升级易受攻击的包,并删除任何不必要的易受攻击包(apt list --installed | grep xx),如vlc、thunderbird .为了使此任务在更新debsecan数据库并在我的系统上安装新包时更易于日常使用,我如何仅获得易受远程
浏览 0提问于2017-09-07得票数 3
回答已采纳
我正在保存由数据库中的编辑器字段生成的HTML,并将JSON响应中的HTML绑定到客户机中,以便在检索之后显示出来。然而,很多时候,为了显示HTML以防止XSS攻击,需要进行大量的清理。只要管理员采取其他良好的安全操作(例如使用强密码保护他们的帐户,并保护他们的服务器),并且本身并不是恶意的,那么可以安全地说HTML是可信的,不应该被认为易受XSS攻击吗?
浏览 0提问于2017-03-14得票数 2
回答已采纳
1回答
我有一个专门的服务器,它承载游戏服务器,并且易受DDoS攻击。我想得到一个受DDoS保护的VPS,作为UDP的反向代理。专用服务器的IP地址为7.7.7.7,VPS的IP地址为9.9.9.9。当玩家连接时,他们应该将数据包发送到9.9.9.9,并从9.9.9.9接收数据包。如果7.7.7.7是可见的,黑客可以直接攻击它并绕过我的反向代理。我不想“路由”UDP数据包。我能在Linux上做这件事吗?如果是,什么命令?
浏览 0提问于2015-02-11得票数 0
让我们以JavaScript为例,它使用npm作为中央包注册表。注:其他相关问题的答案提到供应链攻击。然而,据我所知,供应链攻击的关键是将恶意代码注入到开发依赖项中,例如著名的SolarWinds攻击。我的问题是不同的,因为在本例中,我是在问开发依赖本身是否有可能被攻击者注入的恶意</
浏览 0提问于2021-10-15得票数 9
回答已采纳
上传后,我收到一封包含警告的电子邮件: “您的应用程序易受意图重定向的攻击。” 找不到问题..但删除paytm支付网关集成应用程序后..但我需要添加paytm支付网关集成。这是邮件 “*大家好,Google Play开发者, 我们检查了您的包名为com.xxxx.xxx的应用程序,发现您的应用程序使用的软件存在安全漏洞。具有这些漏洞的应用程序可能会暴露用户信息或损坏用户的设备,并可能被视为违反了我们的恶意行为策略。以下是在您最近提交的文件中检测到的问题列表和相应的APK版本。意图重定向您的应用程序容易受到
浏览 35提问于2020-09-30得票数 2
3回答
如果我使用像dbms_crypto这样的oracle数据库加密包,这会受到任何攻击吗?我知道它使用了像3 AES、AES等算法。这些都是你在使用这个包时可以使用的,还有针对3 AES和AES的攻击,但它们相对安全。除了系统受到破坏、系统上存储密钥和恶意数据库管理之外,是否还有使用包加密的DB容易受到其他攻击?
浏览 0提问于2020-04-21得票数 3
1回答
我们可以假设:攻击者的笔记本电脑没有连接到受感染的膝上型计算机的网络
攻击者将外部拦截应用于受感染的网络。问题:攻击者的膝上型电脑可以定位到与受感染网络的最大有效距离是多少?将攻击者的笔记本电脑定位到离受感染的网络太远可能会产生什么挑战?它会破坏提取的信息吗?我们认为
浏览 0提问于2018-03-26得票数 -1
hidden" name="firstName" value="[first name]"/> <input type="submit" value="Submit">
我们知道,firstName值易受这个网站上的XSS能被用来窃取x-csrf令牌并提交表单吗?即使令牌只在第一页上生成?最终目标是让攻击者主持一个具有恶意构建的表单的网站,这将迫使受害者在firstName中的XSS被用来
浏览 0提问于2019-02-03得票数 1
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
云直播活动推荐
腾讯云开发者
