میزبان – کلیک کنید: خرید VPN خرید وی پی ان خرید فیلتر شکن خرید فیلترشکن

سپتامبر 24, 2018

هیچ خروجی از دستور Nmap ssl-enum-cipher برای بعضی از نام های میزبان وجود ندارد

من زیر فرمان Nmap برای تست گرفتن سوئیت های رمزگذاری شده در میزبان اجرا می کنم. برای بعضی از میزبانها من قادر به باز کردن رمزهای عبور از nmap ssl-enum-ciphers نیستم. من فقط خروجی زیر را می گیرم

 nmap -p 443 - اسکریپت ssl-enum-ciphers "example.com"

شروع Nmap 7.70 (https://nmap.org) در 2018-09-24 12:26 زمان استاندارد هند

گزارش اسکن Nmap برای مثال.com (199.64.73.34)

میزبان تا (0.16 ثانیه تاخیر) است.



سرویس دولتی پورت

443 / tcp open https



Nmap انجام شده است: 1 آدرس آی پی (1 host up) در 12.93 ثانیه اسکن شده است

سپتامبر 18, 2018

سیستم عامل – خطر آلوده شدن به میزبان OS اگر OS مهمان از تاریخ است

من می خواهم بدانم چقدر خطر تغییر می کند اگر من نرمافزار را در سیستم عامل مهمان در VM (برنامه ها و سیستم عامل مهمان خود) به روزرسانی نکنم، در مقایسه با ریسک، تا به امروز

من این سوال را میپرسم زیرا متوجه شدم که این می تواند درد را برای نگه داشتن نرم افزار در VM تا به امروز، به ویژه هنگامی که شما چند VM، و یا زمانی که شما فقط می خواهید به استفاده از یکبار مصرف نمونه ها یا زمانی که شما نمی خواهید شبکه در VM در دسترس باشد یا زمانی که به تکیه بر عکس های فوری (که پس از آن بزرگتر خواهد شد و بنابراین از تاریخ). من می دانم که حفظ آن تا به امروز احتمالا خطر را افزایش می دهد، اما من نمی دانم چه مقدار، و برای همه من می دانم که تفاوت ممکن است حتی ناچیز باشد. این احتمالا احتمالا فرار از یک VM را با بهره برداری از یک آسیب پذیری در VM خود بدون وابستگی به آسیب پذیری های دیگر در سیستم مهمان بستگی دارد، در مقایسه با احتمال اینکه یک آسیب پذیری در سیستم مهمان برای فرار از VM مورد نیاز است . بنابراین ممکن است فقط کسی با تجربه کافی در مورد آسیب پذیری های VM بتواند احتمال احتمال این خطر را ارزیابی کند.

آگوست 28, 2018

محافظت از CSRF و برنامه های صفحه ای تنها در میزبان S3 (بدون پشت صحنه).

من یک webapp نوشته شده در JS که در AWS S3 اجرا می شود. هیچ راهی برای راه اندازی یک نشانه امن CSRF در بارگذاری صفحه وجود ندارد، زیرا هیچ سرور پشتیبان وجود ندارد. این شناسه باید از طریق یک تماس AJAX به سرور API من در یک دامنه متفاوت بازیابی شود. سیاست API CORS برای ثبت درخواست از برنامه js به لیست سفید اضافه شده است.

آیا علامت CSRF از طریق ajax درخواست می شود؟ آیا کسی که می خواهد یک نشانه معتبر CSRF را بدست آورد، می تواند هدرهای مبدأ را جعل کند؟ (این نشانه توسط لاراول ساخته شده است)

آگوست 19, 2018

TLS – آیا می توان از یک ایمیل حمله مردانه در میان خود از میزبان خود جلوگیری کرد؟

این هفته برخی از ایمیل های سرور من با پیام "550 اقدام انجام نشد (در پاسخ به پایان فرمان DATA)" رها شد. به نظر میرسد توسط نرم افزار هرزنامه در شبکه میزبان اختصاصی سرور من ایجاد شود. این فقط زمانی اتفاق می افتد که ایمیل ها حاوی کلمات یا عبارات خاص باشند، بنابراین آنها به راحتی ایمیل ها را اسکن می کنند.

من فکر کردم رمزگذاری TLS از ایمیل های من جلوگیری می کند و به این ترتیب، به نظر می رسد، اما ظاهرا من درک درستی از آن ندارم. این پاسخ می گوید:

هنگامی که SMTP از TLS استفاده می کند، به سادگی به معنی آن است که پروتکل تبادل بین سرورهای پست از طریق TLS انجام می شود. این نمی کند، AFAIK، به این معنی است که پیام های حمل شده رمزگذاری می شوند. (به عبارت دیگر، در حالی که ایو قادر نخواهد بود "سیم پیچ" بین دو سرور پست الکترونیکی، او می تواند خود پیام ها را بخواند، اگر او می تواند آنها را از طریق یک سرور عبور کند که او به خطر افتاده است.) [1965،9004] آیا وجود دارد هر راهی برای محافظت از ایمیل های من از خواندن اگر آنها مجبور به سفر از طریق یک کامپیوتر در تلاش برای خواندن آنها؟

آگوست 13, 2018

کلید میزبان ssh – نگه داشتن یک daemon برای اجرای تونل SSH امن است؟

من یک برنامه وب میزبانی شده در اقیانوس دیجیتال دارم و از Laravel Forge استفاده می کنم تا daemon یک تونل SSH را به یک سرور دیگر اجرا کند (به عنوان مثال ssh -L XXX: 127.0.0.1: XXX -p xxx root @ [ipaddress] 19659002] این کار را برای اتصال به یک DB از راه دور در آن سرور متصل می کنم.

آیا در انجام این کار آسیب جدی وجود دارد؟ آیا شخص دیگری می تواند دستور daemon را اجرا کند؟ اما حتی اگر این امکان وجود داشت، آیا آنها به کلید SSH برای دسترسی به سرور نیاز ندارند؟