Questions tagged «security»

防止系统未经授权的访问,修改,破坏或破坏。

1
外部托管的子域是否存在安全风险?
我一直在开发网站的一家公司希望保留其当前域,例如company.parentcompany.com。因为我们想使用其他CMS,所以母公司拒绝支持甚至托管它,并要求我们为第三方托管付费。 既然我们已经做到了,他们就不会为指向新服务器的子域创建A记录,表明这是安全隐患。无论如何,我都不是DNS专家,但这听起来对我来说是总BS。我已经多次讨论了此问题,但从未见过有人提出安全问题。 我可以解决这个问题,还是真的正确?

3
仅通过随机URL来保护订单状态页面是否足够?
(公司)客户在我们的网上商店购买了一些商品后,我们会向您发送一封电子邮件,其中概述了他所购买的商品。 我们想通知我们的客户有关已收到的付款,数据包跟踪等信息。我可以通过为每个订单分配一个随机ID并为每个邮件添加一个链接来解决此问题。链接可能是这样的: http://shop.foo.bar/order/rwklvc46g9wt7kvy09f1 您是否将采取其他措施来保护数据?还是选择完全不同的解决方案? 优点: 每个邮件都没有任何状态更新(尤其是如果频繁更新的话) 单一信息源(从未过时) 可共享的(例如与他的老板或同事共享) 缺点: 可公开访问的网站上公开的私人数据(例如电话号码,付款明细)
11 security  privacy 

2
“服务器”标头有任何用途吗?
例如,当我转储服务器的响应头时,我得到: Server: Apache/2.2.11 (Ubuntu) PHP/5.2.6-3ubuntu4.5 with Suhosin-Patch mod_ssl/2.2.11 OpenSSL/0.9.8g 这有什么用吗?广播服务器配置文件是否有安全风险(尽管很小)?

4
SSL对大多数网站真的重要吗?
对于正在为我正在建立的这个站点(我创建的第一个非平凡的站点)学习“正确地做安全性”,我一直很偏执,而且我注意到有些困扰我的事情:SSL。 在这里,StackOverflow以及其他地方,我已经读了很多安全线程,详细讨论了n次使用后重新生成会话ID的问题,以及如何对密码进行加盐处理,散列处理以及从不以纯文本形式存储密码。我已经阅读了很多有关如何通过跟踪IP地址,用户代理以及使用跟踪cookie来检测会话何时被劫持的信息。 我不明白,当网站通过普通的HTTP POST登录您并以纯文本形式通过网络发送密码时,这有什么重要意义? 我了解我需要使用列出的所有其他方法来降低整体风险,也许有些站点无论如何都不需要那么多的安全性,但是我想我要问的是: 什么时候可以不用打扰SSL? 我可以看到Gmail,Gmail,LinkedIn,LinkedIn等网站都有使用SSL的理由,但是Facebook和reddit这样的网站不必理会(地狱,PlentyOfFish甚至将密码存储为纯文本,甚至通过电子邮件发送)提醒您!!!)? 我应该如何确保已设置SSL(特别是因为我要从共享主机启动,并且启动起来非常便宜),该如何处理?如果有帮助,我的网站将不会保存任何特别的个人信息。如果该站点成功,那么我会认真考虑支付额外的费用以增加安全性。

8
如何找出Wordpress(已存储)密码的强度?
我负责许多共享托管服务器的安全性。他们中的大多数都有WordPress网站。每个服务器至少有500个WordPress网站。 以我的经验,WordPress的问题始于弱密码。大多数网站管理员密码都非常弱,使用弱密码网站已被利用并用于各种恶意活动。 现在,我的计划是找出WordPress网站的弱密码,然后将管理员密码强制更改为其他强密码。这样就可以保护WordPress,并且我的服务器不会遇到麻烦。 如何知道存储的WordPress密码的强度?

2
论坛垃圾邮件问题。为什么中国黑客在我的论坛上发布微小图像
我的论坛正受到具有中国IP的垃圾邮件发送者的攻击。 创建对讨论主题的答复,答复总是简短,并使用论坛代码插入图像,然后由论坛将其插入HTML图片标签(无定位标签)。 如此美丽的图片[img] http://www.coupon-domain-goes-here.com/avatar2.jpg [/ img] 答复是由人而非机器人创建的,因为它们与讨论有些相关。 图片不会显示,因此普通论坛成员不知道这是垃圾邮件。之所以不显示,是因为图像返回了302响应代码并重定向到这样的URl http:// www.coupon-domain-goes-here .com / avatar.php?u = 2 然后使用302重定向到同一域上的另一个图像,该图像也称为avatar.gif。 http:// www.coupon-domain-goes-here .com / images / avatar.gif 我的问题是为什么他们要这样做。SEO有好处吗?没有创建链接。这只是一张图片,因此中间的URl(一个PHP文件)不应从搜索引擎获取任何链接。还是我错了? 你怎么看?

1
为什么chmod 777不安全?
chmod 777文件更改了文件文件的读取,写入和执行权限。 好的,因此可以通过服务器上的任何脚本以任何方式操纵文件。但是为什么这不安全? 如果您那里已有脚本,那么上传脚本的人仍然可以访问您的服务器...那么这里有什么用呢?

3
什么是wwws.site.com
我知道有关https等用于保护重要网页(例如登录名)的信息。但是,为什么有人还会创建一个单独的子域名,例如wwws?例如 https://wwws.site.com/login

1
Google如何抓取我的403页?
我的学校文件夹中的目录中有几个私人文件。您可以通过转到myschool.edu/myusername/myfolder来查看文件是否存在,但是尝试通过myschool.edu/myusername/myfolder/myfile.html访问文件本身会返回403错误。 但是Google以某种方式设法获取了这些私有文件的内容,并将其存储在其缓存中!这怎么可能?[此后我已经删除了这些文件,所以我很好奇Google如何做到这一点。]

5
是否审查了PCI合规性?
在阅读了有关存储信用卡详细信息的措辞非常强烈的建议之后,我想知道-如果一个非PCI兼容的公司开始存储信用卡详细信息会发生什么(我100%肯定有公司在那里这样做)。 例如,假设我没有在这里问我的问题,而我奋进去,只是决定存储客户信用卡详细信息并使用一些基本的AES加密。怎么办?如果我们从不被黑客入侵,有人会问吗?Visa或我们的商人是否愿意检查我们的服务器? 不使用符合PCI标准的基础架构会带来什么后果? 免责声明:我得到的提示-这是一个坏主意,我们不会这样做,但我很好奇

2
Google Search Console警告:有害内容-罕见下载
今天Google Search Console在我的网站上向我显示了一些警报 单击链接“检测到恶意软件?” 打开一个包含详细信息的页面: 但是列表“示例URL”为空,并且“下载所有示例”也下载一个空文档。 发生什么事?这似乎是错误的肯定。从文档: 如果Google Safe Browsing以前没有看到特定的二进制文件,Chrome可能会警告称该文件下载不常见,并且可能很危险。在这些情况下,如果Google安全浏览确认它是良性的,则会自动解除警告。 如果您的网站显示不常见的下载警告,您还可以 在Search Console中请求进行审核。 一天前,我已经在我的网站上下载了一些软件(由我自己构建),我已经部署了一个新版本。我已经检查了所有防病毒软件(最受欢迎),它很安全。我所有的软件都签署了具有良好证书资格的签名。 问题是:我该如何解决这个问题? 更新 审查后,问题消失/解决。

4
是否需要通配符SSL证书才能包含在HSTS预加载列表中?
我想将个人网站提交到Chrome HSTS预加载列表中。 那里的网站说: 为了包含在HSTS预载列表中,您的网站必须: 拥有有效的证书。 将所有HTTP通信重定向到HTTPS-即仅HTTPS。 通过HTTPS服务所有子域。 在基本域上提供HSTS标头: 有效期限必须至少十八周(10886400秒)。必须指定includeSubdomains令牌。必须指定预加载令牌。如果要提供重定向,则该重定向必须具有HSTS标头,而不是重定向到的页面。 这是否意味着我的证书必须对所有子域都有效,或者仅通过HTTPS可用/提供它们?(我有的证书sub.example.com,但没有根证书。) 我可以向带有子域的HSTS预加载列表申请sub.example.com吗?

1
某人/某人访问了电子邮件中的链接,但不是电子邮件发送给的人
谁能解决这个谜? 我们有一个Web应用程序,仅对受邀用户可用。我们的管理员为用户创建帐户,然后应用程序向该人发送激活电子邮件。电子邮件包含一个链接,供他们单击以激活他们的帐户,然后设置密码。该链接包含唯一引用,一旦访问了该链接,就不再可用。 有人报告说他们收到了电子邮件,但是当他们单击链接时,出现404错误-这意味着他们的链接已被访问。在搜索服务器日志时,我们看到一个匹配其唯一链接的请求,这要比他们说单击链接的时间早很多小时。实际上,该请求是在此人的激活电子邮件发送后立即发送的,但未到达我们用户的收件箱。WHOIS记录的请求IP地址-70.39.157.192-说它是位于美国的服务器,属于Packet Exchange,而我们的用户在英国。 有谁知道如何发生这种情况?当某种电子邮件过滤程序在网络上路由时,是否可以访问电子邮件中的链接?还是会更险恶? 只有一名用户才发生这种情况,许多其他用户都没有问题地激活了他们的帐户。 如果有任何区别,我们将通过MailGun发送电子邮件。
8 email  security 

3
使用Honey Pot防止垃圾邮件
我真的很好奇如何在论坛中使用蜜罐陷阱作为垃圾邮件机器人来防止评论垃圾邮件。 如果在浏览器中关闭CSS和javascript怎么办? 您在蜜罐陷阱中还看到其他不利之处吗? 您认为每个蜜罐陷阱应该拥有什么? 您是否知道其他任何反垃圾邮件替代方案,都不会影响用户体验。


By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.