问题标签 [spoofing]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
c# - asp.net 网页中的安全问题
我正在使用按钮进行回发
将 GroupName 发送到 SendMessage.aspx 页面。但我觉得它很容易受到攻击,比如欺骗(如果我错了,请纠正我)。
http://localhost:40092/SurelyK/SendMessage.aspx?GroupName=Acc
Url 包含可以被攻击者更改的组名如何防止我的网站受到此类攻击。请给我一些建议。
security - Nuget 上的“作者”字段可以被欺骗吗?我可以相信文件的真实性吗?
我正在浏览作者的 Nuget 库并看到有问题的内容.. 与我之前看过的一些作品质量不同的东西。
我怎么知道 Nuget 包的作者真的是那个人?
我可以将这种信任扩展到 Nuget 的内置更新过程吗?
asp.net - 使用 ASP.NET 欺骗 HTTP Referrer 数据
此处和其他各种站点上的答案通常充满警告不要信任 HTTP Referrer 标头,因为它们“很容易”被欺骗或伪造。
在我走得更远之前 - 不,我不擅长 - 但我确实想运行一些依赖于推荐人的测试。
虽然我不怀疑关于虚假推荐人的警告是真的,但我真的找不到关于如何操纵它们的详细信息。甚至维基百科的文章也只是笼统地谈论它。
我即将使用 FireFox 的RefControl 插件。
以编程方式(特别是在 ASP.NET 中)UrlReferrer是一个只读属性,所以如果我无法设置它,我看不到如何使用虚假的引用数据触发请求?我真的必须手动完成吗?
我将如何使用 ASP.NET 向我的站点发送请求,并使用用户提供的变量来填充引荐来源标头?
编辑:根据我在下面的评论,理想情况下,我希望接收传入请求,操纵引荐来源数据,然后将请求原封不动地传递到另一个页面。如果我可以通过从头开始构建一个新属性并复制原始属性来使其看起来完好无损,那也很好。
facebook - Facebook 安全 - 欺骗?
关于 Facebook 的欺骗,我应该知道什么(如果有的话)?
我计划只使用他们的 Facebook ID 登录用户 - 没有密码。我的假设是他们已经登录到 Facebook,所以他们不需要密码。但是,现在我想知道是否有人可以将假 ID(或其他人的 ID)传递给我的应用程序和/或服务器。我怎样才能确保这不会发生?
(我正在使用 Facebook Actionscript API、Flash/AS3 和 SmartFoxServer Pro。)
php - MIME 类型欺骗
在 php 中检查 mime 类型非常容易,但据我所知,mime 可以被欺骗。攻击者可以上传一个 php 脚本,例如 jpeg mime 类型。想到的一件事是检查上传文件的文件扩展名并确保它与 mime 类型匹配。所有这些都假设上传目录是浏览器可访问的。
问题:是否有任何其他技术可以防止“坏文件”进入 mime 类型的欺骗?
php - 使用 cURL 下载站点的 HTML 源,但获取的文件与预期不同
我正在尝试使用 cURL 和 PHP 下载此处的 HTML 源代码(在浏览器中显示) 。但不是实际的源代码,而是返回(元刷新链接设置为 0)。
我试图将引荐标头欺骗为该站点,但似乎我做错了。代码如下。有什么建议么?谢谢
networking - 识别假UDP数据包
我想识别其源 IP 地址被伪造的 UDP 或 TCP 数据包。我的猜测是,即使数据包是用具有 hping 的程序伪造的,所有伪造数据包的 MAC src 地址仍然相同,这是正确的吗?
如果我的想法不正确,我如何识别这些被伪造的数据包,并且看起来每个数据包都有不同的来源?
谢谢。
dns - ARP 欺骗/DNS 欺骗 - 区别
ARP Spoofing 和 DNS Spoofing 之间是否有区别,或者它们是一回事?
django - django 评论框架的反欺骗是如何工作的?
在 django 评论框架中,除了常用的 CSRF toekn 之外,CommentSecurityForm 还包含一个 'timestamp' 和一个 'security_hash' 字段,用于“反欺骗”。它有什么安全价值?我需要使用通用外键(包括 content_type 和 object_id 隐藏字段)制作表单,我是否应该实施相同的方法来提高安全性?如果是这样,是否有关于这个问题的好的阅读材料?谢谢您的帮助!:)
web-services - 如何欺骗 HTTP 请求以测试 .NET Web 服务
我有一个在 IIS 的测试实例上运行的 Web 服务。不幸的是,对它的某些请求会导致它抛出基本错误,例如“对象未设置为对象的实例”。
然后,使用 Web 服务的人向我发送导致错误的完整 HTTP 请求(包括标头),我现在需要将其扔给在我的开发环境中运行的实例以修复错误。
关于如何做到这一点的任何建议?(Putty 可以工作,但连接后不能复制粘贴到 Putty 中,这样调试起来很费力!)