通常,引荐来源可追溯到:

• JavaScript的 document.referrer
• 请求标头,例如PHP $_SERVER['HTTP_REFERER']

我已经设置了一个Codepad演示,它显示了这些属性,用于测试目的.

要求:

1. 应该有效地隐藏原始引用者,至少对于所有鼠标事件都是如此.
2. 跨浏览器支持(至少Chrome和Firefox).
   
3. 独立,没有任何外部内容(插件,库,重定向页面......).
4. 无副作用:友情链接应该没有被改写,历史条目应当保留.

在使用链接时,该解决方案将用于隐藏引用者<a href="url">.

用例的确切描述

如在Webapps上的此问题中所述,Google搜索中的链接会在点击时进行修改.所以,

1. Google可以跟踪您的搜索行为(隐私 - )
2. 页面请求稍有延迟.
3. 链接的网页无法跟踪您的Google搜索查询(隐私++)
4. 拖动/复制的URL看起来像http://google.com/lotsoftrash?url=actualurl.

我正在开发一个用户脚本(Firefox)/内容脚本(Chrome) ^(代码),它删除了Google的链接残缺事件.结果,处理了第1,2和4点.

第3点仍然存在.

• 铬: <a rel="noreferrer">
• Firefox : data-URIs. 我已经创建了一种复杂的方法来实现左键和中键的这个功能,同时仍然执行第4点.但是,我正在努力使用右键单击方法.

我们使用以下代码检索Windows PC的活动MAC地址.

private static string macId()
{
    return identifier("Win32_NetworkAdapterConfiguration", "MACAddress", "IPEnabled");
}

private static string identifier(string wmiClass, string wmiProperty, string wmiMustBeTrue)
{
    string result = "";
    System.Management.ManagementClass mc = new System.Management.ManagementClass(wmiClass);
    System.Management.ManagementObjectCollection moc = mc.GetInstances();
    foreach (System.Management.ManagementObject mo in moc)
    {
        if (mo[wmiMustBeTrue].ToString() == "True")
        {
            //Only get the first one
            if (result == "")
            {
                try
                {
                    result = mo[wmiProperty].ToString();
                    break;
                }
                catch
                {
                }
            }
        }
    }
    return result;
}
//Return a hardware identifier
private static string identifier(string …

Jailbroken iPhone通过使用MobileSubstrate在iOS上玷污了一些基本的API,让我感到震惊.

http://www.iphonedevwiki.net/index.php/MobileSubstrate

我相信很多应用程序使用UDID作为验证设备和/或用户的手段,因为它是半自动和方便的,但你应该意识到这个问题:UIDevice并不像应该的那样防篡改.有一个叫做UDID Faker的应用程序,它可以让你轻松地在运行时欺骗别人的UDID.

http://www.iphone-network.net/how-to-fake-udid-on-ios-4/

这是它的源代码:

//
//  UDIDFaker.m
//  UDIDFaker
//

#include "substrate.h"

#define ALog(...) NSLog(@"*** udidfaker: %@", [NSString stringWithFormat:__VA_ARGS__]);
#define kConfigPath @"/var/mobile/Library/Preferences/com.Reilly.UDIDFaker.plist"

@protocol Hook
- (NSString *)orig_uniqueIdentifier;
@end

NSString *fakeUDID = nil;

static NSString *$UIDevice$uniqueIdentifier(UIDevice<Hook> *self, SEL sel) {  

    if(fakeUDID != nil) {
                 ALog(@"fakeUDID %@", fakeUDID);
        /* if it's a set value, make sure it's sane, and return it; else return the default one */
                return ([fakeUDID length] == 40) ? fakeUDID : [self orig_uniqueIdentifier];

    }
    /* …

我们希望将ajax风格的服务嵌入到我们的许多网站中,每个网站都有一个独特的api密钥.我可以看到的问题是,因为api密钥存储在javascript文件中,用户可能会获取密钥,欺骗http引用者,并在该api密钥下向api发出数百万个请求.

所以我想知道谷歌如何防止分析欺骗？因为这使用了几乎相同的想法.

我也对其他想法持开放态度,基本上就是这个过程.

SiteA - >用户< - > Ajax < - > SiteB

编辑 - 有没有办法保护API在通过ajax调用时被滥用？

我们从开发人员那里收到了PHP代码,这些代码完全依赖于web-stats脚本$_SERVER['HTTP_REFERER'].使用cURL,您可以轻松伪造它,如下所示:

curl_setopt($curl, CURLOPT_REFERER, "client website");

我正在寻找一种方法来防止它.这甚至可以由客户网站完成,以获得更高的统计数据.我正在寻找一种方法来防止这种欺骗.这有可能吗？如果是这样,怎么能实现呢？

在浏览网页时,我需要将我的屏幕分辨率伪造到我正在查看的网站,但保持我的视口相同(Chrome或FF的模拟并不能解决我的问题).

例如,如果我从具有1920x1080px分辨率的全屏模式的浏览器访问http://www.whatismyscreenresolution.com/,我希望该网站认为我使用1024x728px,但仍然能够以全屏模式浏览.

我的一个猜测是我需要以某种方式覆盖js变量screen.width和screen.height(或完全摆脱js,但特定网站将无法使用js禁用),但如何？那就足够了吗？

这是出于匿名目的,我希望我不需要详细解释.即使我从各种设备访问该站点,我也需要看作一个设备(Tor浏览器不是一个选项 - 更改IP).我正在使用的浏览器是firefox 30.0,它运行在VPS(Xubuntu 14.04)上我正在远程连接.

这个帖子(欺骗JS对象)让我接近但不够,它仍然没有答案.我已经在很长一段时间内解决了这个问题,所以任何推荐都受到高度赞赏!

在php中检查mime类型非常简单,但据我所知,mime可能会被欺骗.攻击者可以使用例如jpeg mime类型上传php脚本.我想到的一件事是检查上传文件的文件扩展名,并确保它与mime类型匹配.所有这一切都假设上传目录是浏览器可访问的.

问题:是否还有其他技术可以防止"坏文件"进入mime类型欺骗？

我现在通过我的机器上的jmeter负载测试网站.但是我想要一个真实世界的场景,因此jmeter可以使用ip别名或ip欺骗,看起来像是从不同的ip地址发送请求.

我正在用PHP编写一个包含布尔值的网站$_SESSION['logged_in'].true当数据库中存在用户名和密码匹配时,将其设置为.

我对会话很陌生,只是想知道未注册(或者说,已注册)用户true是否有可能通过设置此布尔值来绕过登录过程,这可能与cookie一样.

我理解用户必须从客户端操作服务器端变量,但我的问题是这是多么容易,用户将如何完成这样的任务,是否有任何已知的漏洞,什么是避免这种攻击的最佳做法/预防措施？

我在Rails 4应用程序上遇到以下错误:

ActionDispatch :: RemoteIp :: IpSpoofAttackError:IP欺骗攻击？!HTTP_CLIENT_IP ="xx.xx.xx.xx"HTTP_X_FORWARDED_FOR ="xx.xx.xx.xx"

我们不需要这种类型的安全检查,所以经过一些谷歌搜索我发现:

https://github.com/rails/rails/issues/10780

当中间代理在HTTP_CLIENT_IP和HTTP_X_FORWARDED_FOR中插入用户IP地址,并且此地址是私有的时,ActionDispatch :: RemoteIp会引发IpSpoofAttackError异常.

当企业代理在标头中包含用户的IP地址时,这通常是私有的.只有当地址与HTTP_CLIENT_IP中找到的地址不完全匹配时,才应该从HTTP_X_FORWARDED_FOR中包含的链中删除私有IP地址.如果匹配,那应该是用户的IP地址.

例如,在以下环境中会发生这种情况:

HTTP_CLIENT_IP:172.17.19.51 HTTP_X_BLUECOAT_VIA:ffffffffffffffff HTTP_X_FORWARDED_FOR:172.17.19.51 REMOTE_ADDR:xxx.xxx.xxx.xxx(这将是一个公共IP地址)

这里有一个修复:

作为解决方法,我在config/application.rb中禁用了此检查:

config.action_dispatch.ip_spoofing_check = false

然而,这似乎不适用于Rails 4.什么是新的调用,如何在网站范围内设置它？