问题标签 [network-security]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
php - 攻击者有什么办法可以在我的服务器上查看 php 脚本中的源代码?
我有一台运行 Debian 操作系统的服务器,并且我有大量 .php 脚本位于默认的 apache 公共目录中。这绝对不是最安全的方法,但我有一个脚本可以执行任何 $_REQUEST["sql"] 到 mysql 数据库的内容。如果您有正确的密码,您只能查询此密码,该密码在脚本中以纯文本形式进行比较。
我的问题是攻击者能否以某种方式查看此脚本并找到密码,然后随意执行 sql 语句?
ios - ATS 警告但临时异常处于活动状态?
我有一个奇怪的问题,我不断收到App Transport Security has blocked a cleartext HTTP (http://) resource load since it is insecure. Temporary exceptions can be configured via your app's Info.plist file.,但我启用了一个异常,以及为 ATS 打开整个应用程序,但我的偏好被 Xcode 忽略了,即使我的其他键正在使用中。
我想知道我做错了什么,有人可以告诉我是否有什么东西让他们觉得我的钥匙有很大的错误?
这是应该工作的部分:
然后是Info.plist文件的结尾:
编辑
我用完全相同的 Info.plist 构建了一个全新的项目。它有效,此后问题不在于网络部分本身。
atom-editor - 如何离线安装 Atom 包或当 atom 包管理器不起作用时?
我在一个非常严格的代理服务器后面有一台计算机,它只允许我上网和下载程序它不允许像 Atom 文本编辑器这样的程序下载它的包。
我的问题是如何仅使用基于浏览器的下载来安装它们?
docker - 将 gerrit 项目克隆到我的主机上
我在 docker 上运行 gerrit。我从 dockerhub 获得了图像。我是这样运行的:
图像正在运行,我可以通过 url 即 ip:8080 访问它。当我尝试通过 http 创建的任何项目时,它都可以工作,并且我在主机上获得了一个克隆的 repo。但是当我尝试通过 ssh 克隆时,出现以下错误,
后来我也尝试了,将我的主机 ssh 密钥添加到 gerrit 并尝试克隆,但没有成功。
当我尝试 ssh ip:29418 时,
我不知道我哪里出错了,需要一些指导。
azure - 为 Octopus Tentacle 设置 Azure 网络安全组规则?
我一直在尝试设置我的 Azure 网络安全组以接受与我的 Octopus Tentacle 的连接,但没有成功。
我知道 Tentacle 工作正常,因为我可以使用 localhost 进行连接,剩下的就是外部可用。
任何人都可以阐明网络安全组的必要规则吗?在下面找到我自己的规则。
提前致以诚挚的问候和感谢!
javascript - 在公司网络中阻止在 80 以外的端口上运行的 Websocket 连接
我正在使用在 15000 端口上运行的基于 websocket 的 webgl 应用程序,但问题是当有人尝试从公司网络访问应用程序时,他无法使用 websocket 获取数据。
如何解决这个问题。
php - 什么是 solr 在安全生产中的推荐设计模式
我正在使用 solr 4.10.3。它处于云模式,具有一个分片和三个节点(一个领导者和两个从属)。我必须把它投入生产。我的网站在需要与 solr 通信的 ajax/php 中。我担心安全问题。
- Solr 和 webserver 是否应该在同一系统上?我应该将它们放在单独的虚拟机上吗?
- 让 solr 直接访问开放互联网是否很好?如果不是我应该使用代理吗?
- 如果我必须使用代理,那么创建三个虚拟机是否很好,一个包含 Web 服务器,第二个 solr 和第三个代理?
network-security - 网络安全中的监禁和退避
如何使用 Jailing 和 Backoff 来抑制身份验证系统中的在线词典攻击?
python - 为了网络安全目的,我们可以在众多事件关联中使用 Python 吗?
我们有大量的事件日志流量(由入侵检测系统 NIDS 和 HIDS 生成,但无论如何)
流量是异步的,事件也不相同,但每个事件至少有这些细节: -日期
和时间, -
协议,
-源 IP 和端口, -目标
IP 和端口,
-Payload 和……。
我们想要创建一个关联引擎,首先接收此事件日志(即通过 syslog),然后解析事件并分离上述参数,最后重要的部分是我们希望将这些参数相互关联并生成新警报。
例如,相关规则可能是:如果源 ip 在一分钟内重复超过 20 次,并且如果这样的一分钟每天重复超过 40 次,则生成警报。
最大的问题是通常每秒超过 30,000 个事件的事件数量!应该通过100 多个相关规则进行相关,如上述。
以前流行的解决方案大多是用C/C++编写的,使用 MySQL (Maria dB),但出于某种原因,我们更喜欢python和PostgreSQL。
1-首先我想知道瓶颈是依赖还是独立于编程语言、数据库或其他东西。
2-其次,如果第一个问题的答案是“是”,python和 postgres 可以为我们处理这样的性能吗?是否有一个有效的案例研究以前做过这样的事情?(或任何基准)
nginx - NGINX bind to a specific network interface, regardless of IP address
Is there a way to make Nginx 1.11 bind to a specific interface regardless of the IP address?
I've got a home gateway to an ISP provider; it uses DHCP client to obtain its dynamic IP address. I do not know what that IP address is at NGINX configuration time.
Surely, there must be a way to make such a fine HTTP server bind to a specific network interface? I know that Apache can.