38
Czy obecnie istnieją metody fałszowania odsyłacza HTTP?Jak sfałszować preferera http
A
Odpowiedz
5
Tak, nagłówek referer HTTP może zostać sfałszowany.
Częstym sposobem gry z nagłówków HTTP jest użycie narzędzia takie jak cURL:
Wysyłanie nagłówków za pomocą cURL: How to send a header using a HTTP request through a curl call?
lub
Docs Zwijanie: http://curl.haxx.se/docs/
+0
dodanie tego nie działa dla mnie curl_setopt ($ ch, CURLOPT_REFERER, 'http://www.example.com/1'); –
2
Tak oczywiście. Przeglądarka może tego uniknąć, a także może zostać "sfałszowana". Jest dodatek do firefox (sam go nie wypróbowałem) i prawdopodobnie możesz użyć czegoś takiego jak privoxy (ale trudniej jest go dynamicznie zmieniać). Korzystanie z innych narzędzi, takich jak wget, jest tak proste, jak ustawienie właściwej opcji.
27
Tak.
Numer HTTP_REFERER to dane przekazane przez klienta. Wszelkie dane przekazane przez klienta mogą zostać sfałszowane/sfałszowane. Obejmuje to HTTP_USER_AGENT.
Jeśli napisałeś przeglądarkę internetową, jesteś ustawienie i wysyłanie nagłówków stron odsyłających HTTP i User-Agent na GET, POST, itp
Można również użyć middleware, takie jak serwer proxy, aby zmienić te . Fiddler pozwala kontrolować te wartości.
Jeśli chcesz przekierować użytkownika do innej witryny i ustawić stronę odsyłającą przeglądarki na dowolną pożądaną wartość, musisz utworzyć wtyczkę przeglądarki internetowej lub inny rodzaj aplikacji działającej na ich komputerze. W przeciwnym razie nie możesz ustawić strony odsyłającej w przeglądarce odwiedzającego. Wyświetli stronę z Twojej witryny, która jest z nią powiązana.
To, co może być poprawnym rozwiązaniem w twoim przypadku, to załadowanie strony strony trzeciej w imieniu odwiedzającego, użycie dowolnego odnośnika, a następnie wyświetlenie strony użytkownikowi z serwera.
+4
zmiana REMOTE_ADDR wymaga dużo więcej niż root w systemie operacyjnym klienta. Wymaga kontroli (lub jest w tym samym segmencie sieci co) adresu IP, który próbujesz sfałszować, ponieważ jest to TCP i musisz mieć dwukierunkową komunikację, aby działał. – Yuliy
Powiązane problemy
- 1. Jak sfałszować wartość zwracaną mapy?
- 2. Jak mogę sfałszować port szeregowy podczas programowania?
- 3. Jak mogę sfałszować zasoby automatycznie zamykane?
- 4. Jak mogę sfałszować faktyczną datę JodaTime?
- 5. Jak mogę sfałszować tylko odpowiedź Alamofire?
- 6. Jak mogę sfałszować Response.StatusCode z Moq?
- 7. Czy można sfałszować usługę systemową w Androidzie
- 8. Czy można "sfałszować" atrybut src elementu iframe?
- 9. Gniazda UNIX: czy można sfałszować getsockopt() SO_PEERCRED?
- 10. Jak mogę sfałszować zewnętrzne żądanie sieciowe w PHPUnit?
- 11. Jak sfałszować Magazyn tabel Azure w .NET do testowania jednostek?
- 12. Jak mogę sfałszować importowany moduł w ecmascript 6?
- 13. Jak mogę sfałszować prywatną metodę statyczną za pomocą PowerMockito?
- 14. Jak działa pamięć podręczna HTTP HTTP?
- 15. Git: Czy da się sfałszować datę podpisania tagu?
- 16. W ServiceStack można sfałszować obiekt Request.OriginalRequest dla testów jednostkowych?
- 17. Czy możesz sfałszować Array.isArray() z obiektu zdefiniowanego przez użytkownika?
- 18. Serwer proxy HTTP HTTP
- 19. Jak działa pobieranie HTTP?
- 20. Jak uzyskać nagłówki HTTP
- 21. Jak anulować żądanie http
- 22. Jak napisać żądanie HTTP
- 23. Http czasownik bieżącego kontekstu http
- 24. Klient HTTP HTTP dla ElasticSearch
- 25. Użytkownik HTTP HTTP User Agent
- 26. Moduł obsługi HTTP a HTTP
- 27. Jak określić kod błędu HTTP?
- 28. Jak serwery HTTP akceptują Telnet
- 29. C# - Jak wykonać połączenie HTTP
Tam są i zawsze będą. –
Klient ma * pełną kontrolę * nad żądaniem. Zarówno nagłówek, jak i ciało. – BalusC
Możliwość podszywania się w referer i innych zmiennych nagłówkowych zawsze będzie się różniła od http. – rook