问题标签 [server-side-attacks]

OpenSSL 1.0.1n、1.0.1o、1.0.2b 和 1.0.2c 中 crypto/x509/x509_vfy.c 中的 X509_verify_cert 函数在识别替代证书链期间无法正确处理 X.509 基本约束 cA 值，这允许远程攻击者欺骗证书颁发机构角色并通过有效的叶证书触发意外的证书验证。在我可以安装补丁之前，我有兴趣减轻这种威胁。在等待补丁通过测试时，是否有人实施了可行的缓解技术来防范此漏洞？

我的服务器每分钟都面临数千个这样的请求：

（XX.XX.XXX.XXX是服务器IP）

它们每次都指向不同的文件，但总是指向同一个文件夹，并且总是来自服务器 IP。

我检查了服务器中的所有“cron”文件，没有一个可以执行这些类型的 HTTP 请求。有谁知道有某种攻击可以做到这一点，即使它来自我的服务器的 IP？

今天我到了，我的应用程序日志中有 200 个（自动）错误。我不确定这是一次攻击，还是我的 IIS 或我的应用程序中的一些奇怪的东西。错误总是一样的，因为有人试图转到一个不存在的页面。

错误是：Void CheckVirtualFileExists(System.Web.VirtualPath)

例如，我有我的 Login.aspx，在这 19 个不存在的页面中，我有 19 个有人试图输入的错误：

• 登录备份.aspx
• Login_old.aspx
• 登录_bak.aspx
• backup_Login.aspx
• bak_Login.aspx
• old_Login.aspx
• __登录.aspx
• .....类似的

这是攻击还是配置错误？有没有办法避免它？

我真的很想知道这是否是我们可以改变的，这样就不会再发生这种情况了。

我听说过这个词，但我在互联网上找不到太多关于它的信息。什么是与 Web 服务器脚本相关的定时攻击？有没有办法对抗这种攻击？

我的服务器感染了 XSS 攻击。所有的 php 文件（所有的 wordpress、我的自定义 .php 脚本和应用程序）都注入了类似类型的加密代码，如下所示。

在这种情况下采取什么行动？我读过有关防止 XSS 的文章，但找不到可靠的指南来说明在受到攻击时该怎么做。

另外，我想知道是否可以解密下面注入的 php 代码：

只是为了了解它的作用以及它的来源？

提前感谢所有帮助！

有人告诉我，转义单引号的方法很容易在 sql 注入攻击中绕过。例如，如果我有这条线：

在用户输入“$password”的地方，他们输入的任何单引号都被双引号替换，你能给我一个可以破坏这个的示例命令吗？我知道反斜杠字符（ \ ）用于转义字符，但我不确定它会如何工作。

简而言之，我有一个网页，允许人们将文件上传到我的网站，然后显示他们上传的任何内容的链接。

上传文件允许上传任何文件类型，并将其存储在名为“uploads”的公共文件夹中。

我可以预见这会带来很多安全风险。例如，如果用户上传一个 HTML 文件，它在打开时会呈现为网页 - 他们可能会重定向到其中的病毒等。

我希望网站尽可能开放——我喜欢上传器允许用户将网页添加到我的网站的事实。但是，我需要它对用户（和我）来说是安全的。

我怎样才能使网站尽可能开放（允许用户尽可能多的自由）而不容易受到黑客的攻击？

我在我的 rails 应用程序中设置了一个异常通知程序。所以今天我收到了第二个通知，index模板丢失：

我知道一个事实，该产品的索引模板在服务器上并在 VCS 中签入，并且该应用程序已经运行了一个月。所以我真的很想知道，为什么会发生这种情况：

这个例外怎么可能？

更新：我查找了 IP 地址，它不是来自我希望我的客户来自的地区。所以我想知道这是否是某种攻击，但问题仍然是如何触发异常，即使模板存在。

除了从文本字段中找到返回页面的未经处理的输入之外，网站还有哪些常见的 XSS 向量？试图防止恶意访问 cookie 中的 csrf 令牌。我正在从文本输入中转义不安全的字符（可能最终会在数据库插入或打印到 UI 之前将其添加到 Java servlet 中）。我还应该在哪里寻找进入网站的 XSS？

我想将一个非常敏感的密钥传递给我的 python 应用程序。假设攻击者获得了对服务器的 root 访问权限。我不希望他以任何方式发现钥匙。我怎样才能做到这一点？