問題タブ [spoofing]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
c# - asp.net Web ページのセキュリティの問題
ボタンを使用してポストバックを実行しています
GroupName を SendMessage.aspx ページに送信します。しかし、なりすましのような攻撃に対して脆弱であると感じています(間違っている場合は修正してください)。
http://localhost:40092/SurelyK/SendMessage.aspx?GroupName=Acc
URL には、攻撃者が変更できるグループ名が含まれています。このような攻撃から自分の Web サイトを防ぐにはどうすればよいですか。私にいくつかの提案をお願いします。
security - Nuget の「作成者」フィールドは偽装できますか? ファイルの信頼性を信頼できますか?
ある著者の Nuget ライブラリを閲覧していて、疑わしいコンテンツが表示されています。これまでに見たいくつかの作品と同じ品質ではないものです。
Nuget パッケージの作成者が本当にその人であることをどのように確認できますか?
その信頼を Nuget の組み込みの更新プロセスに拡張できますか?
asp.net - ASP.NET を使用した HTTP リファラー データのスプーフィング
ここや他のさまざまなサイトの回答には、HTTP Referrer ヘッダーは「簡単に」スプーフィングまたは偽造されるため、信頼しないようにという警告がたくさんあります。
先に進む前に-いいえ、私はうまくいきません-しかし、リファラーに依存するテストをいくつか実行したいと思います。
偽のリファラーに関する警告が真実であることに疑いの余地はありませんが、偽のリファラーがどのように操作されるかについての詳細な情報を実際に見つけることはできません。ウィキペディアの記事でさえ、一般的な用語でしか説明していません。
FireFoxのRefControl アドインを試してみます。
プログラム的に (具体的には ASP.NET で) UrlReferrerは読み取り専用プロパティであるため、設定できない場合に偽のリファラー データを使用して要求を送信する方法がわかりません。本当に手動で行う必要がありますか?
ASP.NET を使用して、リファラー ヘッダーに入力するユーザー指定の変数を含む要求をサイトに送信するにはどうすればよいですか?
EDIT:以下の私のコメントによると、理想的には、着信リクエストを受け取り、リファラーデータを操作してから、リクエストを別のページにそのまま渡したいと考えています。新しいものをゼロから構築し、元のプロパティをコピーすることで、元のように見せることができれば、それも問題ありません。
facebook - Facebook のセキュリティ - なりすまし?
Facebook に関するスプーフィングについて知っておくべきことはありますか?
パスワードなしで Facebook ID だけでユーザーをログインさせることを計画していました。私の推測では、彼らはすでに Facebook にログインしているので、パスワードは必要ありません。しかし、誰かが偽の ID (または他の誰かの ID) を私のアプリやサーバーに渡すことができるかどうか疑問に思っています。これが起こらないようにするにはどうすればよいですか?
(私は Facebook Actionscript API、Flash/AS3、および SmartFoxServer Pro を使用しています。)
php - MIMEタイプのなりすまし
PHPでmimeタイプをチェックするのは非常に簡単ですが、私が知る限り、mimeはなりすましの可能性があります。攻撃者は、たとえばjpegmimeタイプのphpスクリプトをアップロードできます。頭に浮かぶことの1つは、アップロードされたファイルのファイル拡張子をチェックし、それがmimeタイプと一致することを確認することです。これはすべて、アップロードディレクトリがブラウザにアクセス可能であることを前提としています。
質問:「不正なファイル」がmimeタイプのなりすましに侵入するのを防ぐための他の手法はありますか?
php - cURL を使用してサイトの HTML ソースをダウンロードするが、意図したものとは異なるファイルを取得する
cURL と PHP を使用して、 hereの HTML ソース (ブラウザーに表示されるもの) をダウンロードしようとしています。ただし、実際のソース コードの代わりに、これが返されます (メタ リフレッシュ リンクが 0 に設定されます)。
紹介ヘッダーをサイトに偽装しようとしていますが、間違っているようです。コードは以下です。助言がありますか?ありがとう
networking - 偽のUDPパケットを特定する
送信元IPアドレスが偽造されているUDPまたはTCPパケットを識別したい。私の推測では、パケットがhpingのようなプログラムで偽造されたとしても、MAC srcアドレスはすべての偽造されたパケットで同じですが、これは正しいですか?
私の考えが正しくない場合、偽造されており、パケットごとに異なるソースを持っているように見えるそのようなパケットをどのように識別できますか?
ありがとう。
dns - ARP スプーフィング/DNS スプーフィング - 違い
ARP スプーフィングと DNS スプーフィングには違いがありますか、それとも同じものですか?
django - djangoコメントフレームワークのアンチスプーフィングはどのように機能しますか?
django コメント フレームワークでは、CommentSecurityForm には、一般的に使用される CSRF toekn に加えて、「なりすまし防止」の目的で「timestamp」および「security_hash」フィールドが含まれています。それはどのような安全価値を持っていますか?一般的な外部キー (content_type および object_id 隠しフィールドを含む) を使用してフォームを作成する必要がありますが、安全性を向上させるために同じメソッドを実装する必要がありますか? もしそうなら、この問題に関する良い読み物はありますか? 助けてくれてありがとう!:)
web-services - .NET Web サービスをテストするために HTTP 要求をスプーフィングする方法
IIS のテスト インスタンスで実行されている Web サービスがあります。残念ながら、特定のリクエストにより、「オブジェクトがオブジェクトのインスタンスに設定されていません」などの基本的なエラーがスローされます。
次に、Web サービスを使用する人々が、エラーの原因となった完全な HTTP 要求 (ヘッダーを含む) を私に送信します。これを開発環境で実行中のインスタンスにスローして、バグを修正する必要があります。
これを行う方法に関する提案はありますか?(Putty は機能しますが、接続時に Putty にコピー アンド ペーストすることはできず、面倒なデバッグが必要になります!)