发 帖  
原厂入驻New
[问答] Harmony TCP IP Web服务器遭黑客攻击怎么办
91 服务器 HTTP
分享
您好,这可能是一个愚蠢的问题,对不起。在PIC32上使用HARMony和HTTP服务器。所有页面都可以通过密码访问进行保护。我只是想知道黑客是否可以在另一台服务器上创建页面并提交给Harmony HTTP服务器?如果这是可能的,那么他可以在不查看凭证的情况下发布数据,然后可以访问POST函数。非常感谢您的帮助,Best Regards,Steph。
0
2020-4-27 08:29:12   评论 分享淘帖 邀请回答

相关问题

18个回答
我很想看看你的结果,当你尝试这个。
2020-4-27 08:37:30 评论

举报

你可以上传一个全新的图像在黑板上。因此,您当然可以根据需要更改网页。但是,在运行时无法上传/更新处理网页的代码。因此您可以禁用运行时上传的页面。或者确保您为处理的任何页面/文件请求密码。通常可以有两种不同类型的页面:安全和不安全的。访问“安全”页面需要密码等。不安全的页面不能访问系统参数/设置等。这很容易用HTTP_NET完成在这里,您可以在运行时简单地更改一组页面处理函数,并调用一个简单的调用。
2020-4-27 09:03:03 评论

举报

是什么让你认为这是可能的?
2020-4-27 09:21:42 评论

举报

你好,谢谢。页面上传是禁用的,是的,我不想这样,我认为这太危险了。@Jim:奇怪的问题;)只是因为我只是觉得安全;)所以只是不关任何门而不确定。Stephane。
2020-4-27 09:40:43 评论

举报

我只是好奇,这是否是你自己独创的想法,或者如果你在媒体上阅读或看到一些暗示这有可能的事情?我认为你提出的“黑客”是虚构的。
2020-4-27 09:58:43 评论

举报

如果他的服务器将接受一个网页,他没有被屏蔽的问题似乎对我来说是有效的。我的同事们正在调试这样的网页请求。
2020-4-27 10:13:28 评论

举报

我认为,如果PIC从它没有服务的网页接受POSTS,并且允许“愚蠢的事情”在没有验证的情况下发生,那么PICWeb服务器就需要查看。在将网页投入服务并暴露于网络之前,调试网页以测试限制将是一种有效的方法。
2020-4-27 10:21:24 评论

举报

这在某种程度上只是经典缓冲区溢出类型攻击的扩展。你能用它把一些仲裁代码加载到一个设备上,并让系统执行它吗?我会说“不太可能”,但我已经足够长,从不说永远。更容易损坏现有页面。
2020-4-27 10:30:31 评论

举报

POST不来自任何页面(除非浏览器插入可选的“Referrer”字段)。POST可以像GET一样要求身份验证。它们之间的唯一区别是POST请求包含数据,而GET请求仅具有头。
2020-4-27 10:42:53 评论

举报

我想你可以用GET发送数据,它不是在标题中,而是附加到查询中,不是吗?[编辑]我在PHPHTP://php.net/手动/En/Serv.ValabLe.GET.php中使用它。
2020-4-27 10:56:07 评论

举报

服务器从Web窗体接收到的数据与GET在请求中:与POST比较:
2020-4-27 11:01:50 评论

举报

你好,抱歉没有早点回复,但是因为像往常一样,当有人回复时,我没有收到通知,我不知道:-(从我所读到的,这似乎不是“不可能”的事情。我们需要找到一种方法来保护它。我需要考虑解决方案。谢谢,Stephane)。
2020-4-27 11:14:50 评论

举报

我想我理解您的要求,是的,可以创建任意的“发布”请求。已经说过,您可能正在查看“基本访问认证”,其中浏览器保留用户凭证并在随后的HTTP请求中发送它们。由于浏览器存储凭据,所以服务器只需在每个请求中查找密码,如果密码错误,则拒绝请求。如果请求来自另一个没有证书的浏览器,它就会失败。
2020-4-27 11:25:17 评论

举报

Hellook,但是在客户端和服务器之间没有一种连接ID来避免另一个服务器发布数据吗?使用和谐的TCP IP堆栈,我们可以使用什么样的认证(除了BASIC)?抱歉可能是你们中的一些基本问题:(谢谢你们,Stephane。
2020-4-27 11:35:10 评论

举报

嗨,斯蒂芬妮不是这方面的专家(或者别的什么!)我可能没有完全理解您的“黑客”思想,所以如果这没有任何意义,请原谅我。HTTP基本身份验证要求证书出现在每个请求中。它们不是散列或加密,有一个简单的BASE64编码。因此“欺骗POST”不应该在启用了基本身份验证的任何服务器上工作,不管它是嵌入式还是真正的服务器。奥德每个基本的身份验证POST都会有这个字段,服务器在处理请求之前应该检查这个字段。我确信还有其他的黑客方法!
2020-4-27 11:45:14 评论

举报

HelloThan你!是的,所以可以捕获凭据。那么,如果黑客捕获他们,他可以提交从另一个服务器的网页?服务器和客户端之间不需要一种连接ID吗?因此,如果和声服务器不识别这个连接ID,它不接受连接吗?非常感谢你。
2020-4-27 12:00:18 评论

举报

我对你所说的“另一个服务器”有点困惑。我相信您说的是,捕获的凭证可以被另一个客户机用来连接到受保护的和谐服务器页面,或者POST认证请求。是的,使用正确的凭证,任何客户机都可以访问受保护的数据。在基本身份验证中没有连接ID。和谐服务器可能被迫基于客户端的IP/MAC地址禁止访问(需要附加代码,用户提供)。但同样,这很容易欺骗两个,并没有提供太多的保护。
2020-4-27 12:07:39 评论

举报

HelloAre,你说任何客户,不必首先从右边的服务器(和声)获得页面,可以提交页面吗?这意味着,这可能是一场灾难!我在服务器端验证尽可能多的返回值,但是这意味着“我的价值”可以被改变……斯蒂芬妮。
2020-4-27 12:18:55 评论

举报

只有小组成员才能发言,加入小组>>

108个成员聚集在这个小组

加入小组

创建小组步骤

关闭

站长推荐 上一条 /7 下一条

快速回复 返回顶部 返回列表