问题标签 [spoofing]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
4 回答
649 浏览

php - 使用更多 cookie 而不仅仅是会话哈希进行身份验证的原因是什么?

我通常在使用公告板软件的社区中闲逛。

我正在查看该软件在我的浏览器中保存为 cookie 的内容。

如您所见,它保存了 6 个 cookie。其中,我认为对身份验证很重要的是:

  1. ngisessionhash:当前会话的哈希
  2. ngipassword:密码的哈希(可能不是普通密码)
  3. ngiuserid:用户ID

这些当然是我的假设。我不确定是否出于同样的原因使用了ngilastactivityngilastvisit 。

我的问题是:为什么要使用所有这些 cookie 进行身份验证?我的猜测是,也许生成会话哈希会很容易,所以使用 hashedpassword 和 userid 会增加安全性,但是 cookie 欺骗呢?我基本上将所有基本信息都留在了客户端上。

你怎么看?

更新#1

这些 cookie 的内容就是我认为它们包含的内容。我不确定。当然,如果调用 cookie ngivbpassword 并包含哈希,我猜是 hashedpassword。可能它可能是密码+盐。

我主要担心的是这些解决方案在cookie 欺骗攻击下会提供大量信息。

更新#2 这个问题不想批评这些特定软件的工作方式,但是,通过这些答案,我只想了解更多关于在 Web 环境中保护软件的信息。

0 投票
1 回答
396 浏览

iframe - 是否存在从 domainA 加载内容、从 domainB 提供内容以及将 http 引荐来源网址欺骗为 domainA 的 hack?

这个问题的第 1 部分是 iframe 问题。

您将 domainA/page.html 嵌入到 domainB 上的 iframe 中,http 引用者自然会是 domainA。

那么以下伪 javascript 是否足以保护 domainA 不被嵌入到 domainB 上的 iframe 中?javascript有效性并不重要,只是概念。


第 2 部分基本上是任何其他欺骗域的方法。我想您可以逐个客户端地伪造 http 引荐来源网址(例如,通过修补离开浏览器的标头)......但这没什么大不了的。(尽管解释这是如何工作的将是一个很棒的回应)。

0 投票
1 回答
2720 浏览

usb - 欺骗游戏控制器

我正在尝试编写一些允许用户在游戏机上使用键盘/鼠标组合的东西。我想到的方法是执行以下操作:

弄清楚输入如何映射到控制台控制器中的输出。这是一个很好的尝试和错误,基本上是通过 USB 将控制器连接到计算机,并使用详细的 USB 日志记录来确定控制器如何响应输入。

然后,编写一个用户态程序,该程序接受键盘/鼠标输入并将其转换为控制器的输出。

到现在为止还挺好。现在是复杂的一点。我需要想办法将我的计算机连接到控制台,同时让控制台认为实际连接的是标准控制器。为此,我需要一种创建假 USB 设备的方法,该设备通过 USB 端口与控制台通信。这是我知道该怎么做的部分。

我想我正在寻找某种 USB 欺骗库,但我不确定从哪里开始寻找这样的东西。库的 Python 绑定会很棒,但我并不挑剔。同样,在 Mac 或 Linux 上运行的东西会是完美的,但我可以在紧要关头使用仅限 Windows 的库。

0 投票
4 回答
3086 浏览

embedded - 可编程 USB 主机到主机控制器

对于这个问题,我正在寻找一种设备,它可以让我连接两个 USB 主机,同时仍然是完全可编程的。我想要一些可以做以下事情的东西:

伪装成任意 USB 设备

从 PC 获取输入,除了将其传递给另一台主机之外什么都不做。

我一直在寻找可以让我这样做的微控制器(最好是预组装的),但到目前为止还是空白。有谁知道可以让我这样做的控制器(最好便宜)?

0 投票
3 回答
1065 浏览

security - 通过源 IP 验证 TCP 连接是否安全?

我正在开发一个应用程序,它通过 Internet 接受来自客户端的连接。所有这些客户端都在固定的 IP 地址上,并将建立非加密的 TCP 连接。

当前的计划是让服务器检查连接来自哪个 IP,并仅允许来自已知 IP 列表的客户端连接?

这对 IP 欺骗有多安全?

我的理由是,由于这是一个 TCP 连接,攻击者不能只是伪造它的发送者 IP(这很容易),而是必须确保数据包返回给他,因此他必须破解所有路由器路径,这似乎相当困难。

我知道我可以使用加密,如 SSH,但让我们坚持纯 TCP 连接的安全性问题。

0 投票
2 回答
3801 浏览

power-management - 在我的笔记本电脑中伪造电池信息

如何伪造笔记本电脑中的电池信息?

我正在研究一种必须伪造笔记本电脑电池电量的工具。

这意味着该工具必须强制电池或笔记本电脑在充电良好时报告低电量。

是否有任何框架或驱动程序可以帮助我做到这一点?

我们是否有支持此功能的电池固件?

我真的找不到这个问题的解决方案,非常感谢任何帮助。

提前致谢。

注意:编程语言无关紧要。

0 投票
2 回答
5895 浏览

java - JSP 验证用户来自上一页

在我的 JSP webapp 中,我想验证用户是否来自我的特定页面,http://myapplication.com/foo.jsp. 在进行检查的页面上,我可以这样做:

然后ref比较http://myapplication.com/foo.jsp

但是,这种验证很容易被欺骗。还有哪些其他技术可以验证客户端是否来自预期的 URL?

我想这在SO中已经出现过。谢谢

公关

0 投票
2 回答
98 浏览

asp.net - 如何检测处理我网站内容的自动化代理?

我注意到一些网站正在使用自动化代理来处理我客户的一个网站的内容。我想检测他们的请求并向他们显示验证码,以防止他们处理网站内容。

有没有办法检测到它们?

0 投票
3 回答
2548 浏览

android - 在android上验证设备电话号码

我正在编写一个应用程序,它将使用人的电话号码(在设备上)来识别我网络上的用户。我可以使用哪些方法来验证从设备中检索到的电话号码是真实的并且不是伪造的。我想出了两种方法来做到这一点,但它们都需要使用短信:

  1. 从设备向我的服务器发送 SMS
  2. 将 SMS 从我的服务器发送到设备并使用我的应用程序拦截它

还有其他方法吗,如果可能的话,我想省略使用 SMS。

谢谢

0 投票
2 回答
17528 浏览

c# - 在 C# 中发送原始 IP 数据包,以太网层之上的所有内容

我不想修改帧的以太网部分,但我需要修改 IP 数据包和帧的数据部分。

我尝试发送一个原始帧,它仍然放入 IP 信息。我基本上需要发送一个帧而不定义端点,除了我发送的位。

这是我得到的:

我的问题: 使用 SendTo 添加帧的 IP 部分,我不希望这样,因为我想欺骗源 IP。使用“发送”会崩溃,因为它说我需要指定一个端点。关于做什么的任何建议?我只想发送一个数据包并自己定义IP部分和数据部分。

注意:不,我不是在进行 DOS 攻击,我需要这个来合法使用!

我知道如何定义 IP 部分,它只是在没有生成 IP 部分的情况下实际发送数据。