做图片上传功能时,我们要限制用户上传的图片格式和大小。但是,还有一种情况就是验证用户伪造的符合要求的图片,这种情况就必须要验证文件的真正格式。C#的办法时可以通过将文件读成二进制流,取前两个字节判断,比如.jpg的是255216. System.IO.BinaryReader br = new Sy...
分类:
其他好文 时间:
2014-08-22 12:29:16
阅读次数:
280
引起原因:个人认为 csrf 在 Ajax 盛行的今天来说,倒是方便了,因为它可以在你不知道的情况用你的通过验证用户进行操作,所以也被称为浏览器劫持。如果你已通过某个网站的验证那么你将以你的角色对网站进行操作,比如你是管理员可以添加其它的用户到管理组,但是如果有人构造了添加管理员的链接被管理员点后也...
分类:
其他好文 时间:
2014-08-13 10:25:25
阅读次数:
241
有个需求,需要伪造跟用户行为非常类似的账号密码,而且需要一个阀值控制伪造的数量。在这需求上,还有一个就是需要控制生成的比率、跳出率不能过高或者太低。对此就随手用python写了一个,bug不知道有木有,没有测,具体有兴趣可以去改改。#coding:utf-8import randomclass cr...
分类:
编程语言 时间:
2014-08-05 13:56:39
阅读次数:
407
一、主包分析包名:com.example.xxshenqi应用名:XX神器MD5:5956C29CE2E17F49A71AC8526DD9CDE3主要恶意行为:遍历联系人后群发短信,使恶意木马再次扩散传播;伪造钓鱼页面,诱骗用户注册填写个人信息,导致隐私泄露;安装恶意子包。权限:程序入口点击应用图标...
分类:
移动开发 时间:
2014-08-04 10:32:57
阅读次数:
379
一、主包分析包名:com.example.xxshenqi应用名:XX神器MD5:5956C29CE2E17F49A71AC8526DD9CDE3主要恶意行为:遍历联系人后群发短信,使恶意木马再次扩散传播;伪造钓鱼页面,诱骗用户注册填写个人信息,导致隐私泄露;安装恶意子包。权限:程序入口点击应用图标...
分类:
移动开发 时间:
2014-08-04 10:26:26
阅读次数:
290
安全性—固若金汤 ? Xss跨站点脚本攻击cross site script.防止手段主要有两种:消毒; httponly? 注入攻击Sql注入和os注入.Sql注入防止手段: 消毒 参数绑定(预处理)? Csrf攻击cross site request forgery跨站点请求伪造 。防御手段主要是识别请求者身份。主要有;表单token; 验证码; referrer ch...
分类:
其他好文 时间:
2014-07-31 16:58:47
阅读次数:
161
CSRF——攻击与防御author: lake20x01 什么是CSRF攻击 CSRF是Cross Site Request Forgery的缩写(也缩写为XSRF),直译过来就是跨站请求伪造的意思,也就是在用户会话下对某个CGI做一些GET/POST的事情——这些事情用户未必知道和愿意做,你能够把...
分类:
其他好文 时间:
2014-07-24 12:23:05
阅读次数:
353
简介:CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,有很大的危害性。然而,该攻击方式并不为大家所熟知,很多网站都有 CSR...
分类:
其他好文 时间:
2014-07-23 14:54:56
阅读次数:
246
面的内容包括:1NginxReferer模块2valid_referers指令3测试Nginx防盗链1NginxReferer模块当一个请求头的Referer字段中包含一些非正确的字段,这个模块可以禁止这个请求访问站点。这个头可以随意的伪造,因此,使用这个模块并不能100%的阻止这些请求,绝大多数拒绝的请求来自一..
分类:
其他好文 时间:
2014-07-20 15:11:21
阅读次数:
228
1、时间戳的定义 时间戳是指文件属性里的创建、修改、访问时间。数字时间戳技术是数字签名技术一种变种的应用。在电子商务交易文件中,时间是十分重要的信息。在书面合同中,文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。数字时间戳服务(DTS:digital time stamp ....
分类:
编程语言 时间:
2014-07-14 08:54:25
阅读次数:
258
