问题标签 [spoofing]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
ipad - 在 Opera 中欺骗 UserAgent
我试图欺骗 Opera(在 Linux 下)成为另一个浏览器,在这种情况下是 iPad,用于某些测试目的。现在我知道网站可以使用例如 PHP$useragent = $_SERVER['HTTP_USER_AGENT'];和 JavaScript navigator.userAgent(或navigator.platform)来检查哪个浏览器正在访问它。
在 Firefox 中,您可以使用插件轻松切换用户代理和其他相关信息,但在 Opera 中似乎很难做到。
首先opera.ini你可以这样做:
但这仅限于预定义的 UserAgent 列表。没有定制空间。
也在opera.ini
这会将 iPad 添加到 Opera 的用户代理中。这是一个开始,并且大部分时间都在网站上工作。
在opera.ini您可以设置“用户 JavaScript 文件”以在加载网站之前加载自定义 JavaScript 文件:
在load.js你可以这样做:
因为这个文件是在加载网站之前执行的,所以我可以修改 UserAgent,但这在网站通过 PHP 检查 UserAgent 时不起作用,但它适用于使用 JavaScript 检查的网站。
还有另一种欺骗完整自定义 UserAgent 的方法吗?
sms - 处理短信欺骗
我正在开发一个 Web 服务,该服务将使用 SMS 网关接收来自客户的指令。由于这将是一个商业产品,我想实施一种保护措施来保护我们的系统免受 SMS 欺骗。我不希望人们通过欺骗他们的号码来冒充他人。
我注意到 Twitter 允许人们通过短信发送推文,他们如何确保消息是真实的?
这是可能的,如果是这样,我该如何做到这一点?或者我应该忽略这一点,只要他们通过支持就可以处理它。
php - 一种在表单中存储表 ID 的有效方法,因此用户不能覆盖另一个表记录
我正在创建一个具有用户帐户的网站。对于每个用户帐户,用户可以执行更新个人详细信息、写博客等操作。当用户想要编辑博客时,我有以下表格(这是一个简化版本)。
现在你可以看到这个用户的 blogID 是 4,所以当他们更新记录时,它会用 ID 4 更新博客表。现在使用萤火虫或其他欺骗技术,用户可以将此 ID 更改为 8,并更新记录 8,这可能是其他人的条目。
我该如何防止这种情况?到目前为止,我已经想到了两种方法,想知道你认为什么是最好的想法(或建议另一个)。
- 使用随机字符串对 ID 进行编码,然后在提交后解码字符串,检索正确的 ID。
- 将其保留为数字,然后检查以确保一旦更新,其记录将通过数据库查询。
我显然想限制数据库查询,并且通过对 ID 进行编码,我认为是更好的选择。你们有什么感想?
提前致谢
android - Android 手机上的欺骗或虚假位置
我一直试图让它工作几天但没有成功。基本上,我正在编写一个小型测试应用程序,让手机使用 addTestProvider 和 setTestProviderLocation 等报告它的位置。基本上它看起来很好,似乎报告它的位置已经改变,但是谷歌地图等似乎仍在查询真正的 GPS 提供商。有谁知道如何解决这个问题?
这不是一个真正可以用于任何事情的应用程序,它只是为了满足我自己的好奇心并获得理解。
提前致谢。
php - 阻止欺骗的表单条目
我们有一个注册表,人们可以在其中注册参加调查以获得少量补偿。最近我们发现了很多可疑条目。我找到了一个我通过谷歌翻译的中文网站,它基本上是一个“如何”注册这些网站的方法。从那以后,我一直在努力寻找一种自动过滤掉虚假信息的方法。
注册有一个“验证码”,希望能阻止非人类,但在许多情况下,输入的数据是非常真实的。该调查针对调酒师,所有字段均使用合法位置和地址填写。电话号码可能已关闭,但他们可能正在使用手机并搬到该地区。我一直在尝试通过使用以下功能捕获 IP 信息和国家/地区数据来进行筛选:
然后我一直在手动检查和删除出现在美国以外的那些(这是酒吧和调查员必须参与的地方)。我仍然发现许多带有美国 IP 列表的可疑 IP(我确定这些 IP 是被欺骗的)。
不确定我的代码是否不完整,或者我找不到更好的解决方案。谢谢
http - Apache 访问日志中记录的 IP 地址的可靠性如何?
我的网站遇到了一个明显的机器人,它在一秒钟内获取特定 URL 5 次,等待正好 2 分钟,然后重复。请求每次都来自同一个 IP 地址,而且我没有观察到任何恶意负载,所以我不确定它是否是某种形式的垃圾邮件机器人。User-Agent 声称是 IE6,在这种明显非人为的请求模式中总是很可疑。
无论如何,我已经对 IP 进行了反向查找并找到了该域的联系人,但我是否在浪费时间尝试与他们取得联系?如果是垃圾邮件机器人,IP地址不会被欺骗吗?IP 地址欺骗在 HTTP 垃圾邮件发送者中有多常见?HTTP 协议是否以任何方式使其变得困难?
iphone - 在运行时检测 iPhone 上的 UDID 欺骗
越狱的 iPhone 使用 MobileSubstrate 污染了 iOS 上的一些基本 API,这让我很恼火。
http://www.iphonedevwiki.net/index.php/MobileSubstrate
我相信许多应用程序都使用 UDID 作为对设备和/或用户进行身份验证的手段,因为它是半自动且方便的,但您应该意识到这个问题:UIDevice 并没有应有的防篡改功能。有一个名为 UDID Faker 的应用程序,它可以让您轻松地在运行时欺骗他人的 UDID。
http://www.iphone-network.net/how-to-fake-udid-on-ios-4/
这是它的源代码:
如您所见,UIDevice 类中的 uniqueIdentifier 方法现在在任何应用程序上都返回 fakeUDID。
似乎 Skype 和其他一些应用程序检测到这种污点,但我不知道该怎么做。
我想做的是:当启动时检测到污染的 UIDevice 时,警报并退出(0)。
想法?
email - Posterous 如何知道我发送的电子邮件没有被欺骗?
当我通过电子邮件向Posterous 发送要发布的内容时,他们怎么知道这真的是我?
他们的常见问题解答如下:
“电子邮件很容易被欺骗,但 Posterous 已经想出了一些方法来确定我们收到的电子邮件是否来自您。如果我们认为可能不是您,我们会在发布之前要求您确认电子邮件。”
http - 通过 IP 限制对站点的访问
通过 IP 限制对站点的访问是否安全?
我知道有一种叫做“IP 欺骗”的东西——这是否意味着(在某些情况下)IP 限制不准确?
code-injection - 防止 libpcap 捕获使用 pcap_inject() 注入的数据包
目前正在考虑仅使用 pcap 嗅探同一接口并使用 pcap_inject 注入数据包的可能性。
可以使用以下任一方法轻松解决此问题:
- 持久校验和跟踪/大慢图/,
- 校验和跟踪 - 直到注入所有数据,例如第一个 http 请求;
- hacking bpf/libipq/Netfilter 为每个真实的 PHY 数据包携带附加参数
但:
pcap 侦听 eth0 /realworld 情况更接近“pcap 通过源魔法侦听和丢弃”/,pcap 通过 eth0 的句柄发送数据包,因此它们可以被路由出去。libpcap 不捕获使用相同库注入到相同接口的数据包的理论基础是什么 - 例如,注入的数据包没有通过所有伯克利的数据包过滤器代码?
实际测试待定。