问题标签 [spoofing]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
php - 保护对请求站点的 Google OpenID 详细信息的潜在欺骗
我可能遗漏了一些非常愚蠢的东西,并且在Google Federated Login文档中遗漏了它,但是 Google OpenID 登录对于请求站点来说实际上是安全的吗?请求站点如何知道详细信息来自 Google 而不仅仅是在 URL 中输入查询字符串参数的人?
为了说明,我在 PHP 中实现了一个基本的 OpenID 登录序列,似乎返回的只是 URL 中的一堆查询字符串参数,我可以使用这些参数来获取 OpenID 详细信息,效果很好。问题是,如果我只是在地址栏中手动输入这些内容而没有实际使用 Google 登录,我的请求站点如何知道其中的区别?
一、索取资料的表格:
http://www.example.com/logged-in...效果很好,用一大堆 URL 参数将我发送回请求站点,如下所示(来自 PHPprint_r调用):
...这太棒了,但我怎么知道这实际上是一个合法的请求,而不是有人在地址栏中输入上述参数?
感谢您的帮助,如果已经问过这个问题(找不到任何副本!)并且如果我遗漏了一些明显的东西,我们深表歉意!
javascript - 在 JavaScript 中隐藏/欺骗引荐来源网址的最可靠方法是什么?
通常,引荐来源网址可通过以下方式进行追踪:
- JavaScript 的
document.referrer - 请求标头,例如 PHP 的
$_SERVER['HTTP_REFERER']
我已经设置了一个显示这些属性的键盘演示,用于测试目的。
#要求:
- 至少对于所有鼠标事件,应该有效地隐藏原始引荐来源网址。
- 跨浏览器支持(至少 Chrome 和 Firefox)。
- 独立的,没有任何外部内容(插件、库、重定向页面……)。
- 无副作用:不应重写链接,应保留历史条目。
该解决方案将用于在点击链接时隐藏引荐来源网址<a href="url">。
##用例的准确描述如Webapps 上的这个问题中所述,Google 搜索中的链接在点击时会被修改。最后,
- 谷歌能够跟踪您的搜索行为(隐私--)
- 页面请求略有延迟。
- 链接页面无法跟踪您的 Google 搜索查询(隐私++)
- 拖动/复制的 URL 看起来像
http://google.com/lotsoftrash?url=actualurl.
我正在开发一个用户脚本(Firefox)/内容脚本(Chrome) (代码),它删除了谷歌的链接破坏事件。结果,处理了第 1、2 和 4 点。
第 3 点仍然存在。
- 铬合金:
<a rel="noreferrer"> - 火狐:
data-URIs。我已经创建了一种复杂的方法来为左键和中键实现此功能,同时仍然执行第 4 点。但是,我正在努力使用右键单击方法。
php - 如何确认收到的电子邮件的发件人?
可能重复:
如何确认电子邮件来源
我想知道 Hotmail 和 Yahoo 等电子邮件服务如何确认“发件人”标头没有被欺骗。我的意思是,您没有尝试代表其他人发送电子邮件。
我现在试图欺骗 Facebook 消息,使用 php 脚本向我的@facebook.com 电子邮件发送电子邮件,欺骗“发件人”。我代表那个朋友帐户收到了它。但是,提示“无法确认--朋友姓名--作为发件人”。出现了。
Facebook(和其他服务)如何确认这一点?
请注意,扩展名 (emailname+extension@mydomain.com) 对我不起作用。我的想法是模拟类似于 Facebook Messages 对电子邮件的支持。
我相信仅仅检查标题是不够的。我想我必须检查 DNS/SPF 的东西,但我不知道该怎么做,甚至不知道该怎么做。
如果您可以向我指出一些“算法”(最好在 php 中)以及检查欺骗的步骤,这将有助于我分配。谢谢!
facebook-graph-api - App_id 欺骗和滥用
对不起,如果这对于这个论坛来说太基本了,但它已经在我脑海中播放了一段时间,所以我试了一下。我使用了 IMDB app_id 和一个欺骗 URL、图像等,它返回一条错误消息,说我不被允许这样做。好的。用我的 App ID 尝试了同样的事情,它顺利通过了!恶搞墙贴似乎来自我的应用程序!绝对可以是任何东西!色情、网络钓鱼攻击,应有尽有!
所以我的问题是我错过了什么。为什么只有 IMDB 可以使用他们的 App ID,但任何 Tom、Dick 或 Harry 都可以使用我的?!
c# - 被欺骗后如何检测原始MAC地址?
我们正在使用以下代码来检索 Windows pc 的活动 MAC 地址。
检索 MAC 地址可以正常工作。问题是当 MAC 地址被欺骗时,它会返回欺骗的 MAC 地址。我们想以某种方式检索在工厂分配的唯一的原始 MAC 地址。有什么办法吗?
javascript - javascript(或浏览器扩展)如何检测受限功能的使用?
我正在开发一个脚本扩展,类似于 Greasemonkey 或 Chrome 的内容脚本引擎。此扩展将允许脚本编写者执行非常危险的操作,例如访问本地文件。
如果我向公众发布这个扩展,我希望它能够警告新手用户,如果脚本将使用“危险”功能。我希望这个警告尽可能难以规避。
例如,扩展程序可以搜索受保护的字符串GM_openSQL_Connection并警告用户——可能是这样的:
GM_openSQL_Connection假设由于沙盒机制,基本网页将永远无法访问。同样,没有<script>节点能够做到。
但是,脚本编写者仍然可以从上面绕过简单的搜索,例如:
所以问题是,一个邪恶的脚本编写者可以通过哪些方式来欺骗检查受限功能使用,我该如何防止这种恶作剧?
注意:错误警告是可以的。例如,如果脚本作者在其他静态字符串中使用文本“GM_openSQL_Connection”,那么他将不得不忍受(错误)警告。
php - 防止来自我的表单的垃圾邮件
我想创建一个发送给朋友的表单,而不是将其用于垃圾邮件。
我在网上搜索并发现这些资源很有用
http://www.nyphp.org/phundamentals/8_Preventing-Email-Header-Injection http://www.nyphp.org/phundamentals/6_Spoofed-Form-Submissions
下面的代码足够好吗?
- 它删除所有新行并返回字符,因此无法添加新消息
- 它使用会话变量,因此表单不能被欺骗
linux - DHCP 服务器将任何 URL 重定向到登录页面
我有一个 linux DHCP 服务器,我需要将所有网络流量重定向到一个登录页面,该页面将说明如何在网络上注册他们的计算机。
无论用户输入什么 URL,都需要将用户重定向到网页(在 DHCP 服务器上)。
即:用户键入 google.com 他们会立即重定向到 192.168.10.1。此 DHCP 服务器将永远不会用于访问 Web。一旦用户从登录页面获得注册计算机的说明,他们将被列入此特定 DHCP 服务器的黑名单,并被迫从主 DHCP 服务器请求 IP。
如何创建这样的重定向?
header - 如何区分“我的”欺骗流量和正常流量?
我正在将欺骗性数据包从服务器发送到客户端。我的目标是将原始流量(例如来自 google.com 的流量)从不同的机器重播到同一主机。
因此,我的服务器发送的数据包将具有最初生成数据包的任何机器的 IP 源地址。我可以控制客户端和服务器。
有什么方法可以使客户端可以将此类数据包与所有其他流量区分开来,而数据包的有效负载没有任何重大变化?
IP 标头中的任何字段我可以安全地用于此目的吗?在 TCP 流量的情况下,如何在 TCP 标头中使用一些未使用的字段?毕竟,我只需要一点。那么保留字段呢?
security - RS232 通信中是否可能进行欺骗攻击?
我是网络安全领域的菜鸟。我很想知道是否有可能对像 RS232 这样的串行通信进行欺骗攻击?