问题标签 [spoof]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
linux - 如何强制所有请求来自我的网站以避免使用 Apache 进行欺骗
我的网站被欺骗了,我不希望其他域再通过 http 请求获取我的网站信息/数据。
如何拒绝来自我网站外部的所有请求?
谢谢!
zend-framework - BjyAuthorize 拒绝所有、超级用户、用户欺骗
我正在构建一个没有公共视图的网络系统(课程登录除外)。到目前为止,我让 Bjyauthorize 与 zfcUser 一起运行,我想做的是:
1) 保护除登录之外的所有路由,因此我不必在开发过程中为每个页面编写保护,出于安全原因,这对我来说是一个加分项,因为我不会意外暴露任何部分不打算暴露。
2) 我需要管理员角色才能检索任何路线、任何控制器,而无需考虑任何警卫。
3)我想为超级用户添加能够欺骗任何用户的功能,也就是让系统认为我是那个特定的用户,所以我可以通过特定用户的眼睛测试我的系统功能。
我们已经在 PHP、MVC 中建立了一个系统,它可以实现所有这些,并且我们正在迁移到 Zend,所以这对我们来说是必要的。
如果可以通过 BjyAuthorize 实现,我不希望对每个项目、一些指南、教程以及最重要的简明答案提供完整的答案,我将不胜感激:D
exim - 如何防止在 exim 中欺骗邮件帐户?
我们有一个带有 DirectAdmin 面板的服务器,其中 exim。这是默认配置,如下所示:
http://files.directadmin.com/services/exim.conf
例如,我们会收到来自 kontakt@hoseo.pl 到 kontakt@hoseo.pl 的电子邮件,这是被欺骗的:
例子:
1.
2.
3.
在 Postfix 中防止这种情况可以这样做:
第一条规则允许来自已通过 SASL 的用户的电子邮件。第二个检查邮件发件人的域是否是我的域之一。如果是这样,它将阻止来自 554 Checking rules * _restrictions 的电子邮件在第一次匹配时结束。所以如果来自我域的发件人没有完成permit_sasl_authenticated,这意味着它不是我的用户,应该阻止另一个规则。
DirectAdmin exim.conf 如何做到这一点?
php - PHP 购物 - 购买商品
好的,所以我正在做一些课程作业,我的主要目标是创建一个故意易受攻击的 Web 应用程序和一个安全的应用程序来比较两者之间的差异。我在大多数应用程序上都做得很好,但是我被难住了。
我需要创建 Web 应用程序的一部分,让我可以从网页上购买商品,注意用户在网站上购买代币,代币用于在网站上购买商品。
例如,一本书可能需要 100 个代币。用户必须购买 100 个代币才能购买这本书。
在故意易受攻击的网络应用程序中,我将简单地将“购买”按钮重定向到 ID 为 1 的项目的 /buyItem?id=01。这样做的明显缺点是有人可以将链接发送给网络应用程序之外的用户它将他们定向到 /buyItem?id=01 并且它会自动向他们收费,从他们的余额中减少代币并将它们重定向到默认网页。我想知道保护此功能的最佳方法是什么,
我考虑过使用引荐来源网址值来确保它们来自正确的页面,但是这些很容易被欺骗。
如果有什么需要解释的,我很乐意解释更多。购买代币等系统很糟糕,但它是课程作业规范的一部分。
javascript - 欺骗/伪造屏幕分辨率?
在浏览网页时,我需要将我的屏幕分辨率伪装成我正在查看的网站,但保持我的视口不变(Chrome 或 FF 的模拟并不能解决我的问题)。
例如,如果我从具有 1920x1080px 分辨率的全屏模式浏览器访问 http://www.whatismyscreenresolution.com/ ,我希望该站点认为我使用的是 1024x728px但仍然能够以全屏模式浏览。
我的一个猜测是我需要以某种方式覆盖 js 变量 screen.width 和 screen.height (或者完全摆脱 js,但特定站点无法在禁用 js 的情况下工作),但是如何?那就足够了吗?
这是出于匿名目的,我希望我不需要详细解释。即使我从各种设备访问该站点,我也需要将其视为一个设备(Tor 浏览器不是一个选项 - 更改 IP)。我使用的浏览器是 firefox 30.0,它在我远程连接的 VPS (Xubuntu 14.04) 上运行。
这个线程(Spoof JS Objects)让我很接近但还不够,它仍然没有答案。我已经在这个问题上苦苦挣扎了很长时间,所以任何建议都非常感谢!
javascript - 是否可以使用 Chrome 欺骗用户代理和操作系统?
使用 Chrome 阻止以下方法的选项有哪些?
navigator.appVersion
Info os.name
因为我在
http://browserspy.dk/browser.php
我想隐藏浏览器和操作系统以避免漏洞。
android - 在自己的安卓设备上模拟来电
我想自己伪造一个来电(物理!!!->不是模拟器)android设备。我知道有很多应用程序实际上可以做到这一点,这意味着它不会那么难——我只需要一个提示。搜索网络只会找到可以完成这项工作的应用程序。
ruby-on-rails - Mongoid-peperclip [回形针] 内容类型欺骗:错误
我需要通过 mongoid-paperclip 上传一些大型 CSV 文件,但出现错误
Uploaded file2 my_file has an extension that does not match its contents。在终端中,我可以看到这个错误是
[paperclip] Content Type Spoof: my_file.csv (["text/csv", "text/comma-separated-values"]), content type discovered from file command: application/octet-stream. See documentation to allow this combination.好的,我将验证设置为do_not_validate_attachment_file_type :my_file它没有帮助同样的错误。在application.rb我添加这一行
然后改成这个
它也没有帮助,同样的错误
Uploaded file2 my_file has an extension that does not match its contents。然后我将验证更改为 validates_attachment_content_type :my_file, :content_type => 'text/csv' 它也没有帮助。然后我发现有人建议这样做
但是我应该在哪里做呢?在哪个文件中?在哪个目录?(我使用的是 rails 4.0)如果有人知道如何解决这个错误,请告诉我!谢谢!`
http - 服务器是否知道数据从哪里发送?(无论是伪造的ip地址还是正常的)
我将创建自己的网站并希望防止 DDOS 攻击或类似的事情。
我知道服务器可以接收来自欺骗 IP 地址的数据包,而攻击者无法获得响应,因为欺骗 IP 地址不是他的。是否可以识别 IP 地址是伪造的还是真实的?
我不确定,但我听说当用户向 HTTP 协议发送数据包时,用户和服务器需要握手。如果发送数据包的人被欺骗,服务器端是否有任何迹象,以便我可以过滤它们?
linux - 为什么允许修改 argv[0]?
我一直在从事一个使用 PID/proc和命令行分析来验证系统进程的项目。我的代码必须由安全人员检查,他们设法用一行代码破解它……尴尬!
我的问题:
我看到了上面的一些用例,比如隐藏命令行上给出的密码(也是不好的做法),但是当一个人可以隐藏进程和欺骗时,我看到了更多的问题/问题
cmdline。有理由允许吗?不是系统漏洞吗?我该如何预防或检测到这种情况?我研究了
/proc安装选项。我也知道可以lsof根据意外行为来识别欺骗进程,但这在我的情况下不起作用。目前我正在使用一种简单的方法来检测是否cmdline包含至少一个 null (\0) 字符,该字符假定至少存在一个参数。在上面的代码中,需要用空值替换空格以绕过该检查,这是我在 Perl 中找不到如何实现的检查 - 直到第一个\0.