页面来源能否伪造?

凋零的老树 2008-11-24 01:40:54
系统是从另外一个系统跳转过来的,跳转后不想让用户再输入密码,所有只好判断上一个页面的来源.比如第一个页面 http://192.168.0.3/a.aspx 提交 http://192.168.0.2/b.aspx 在b.aspx中通过 HTTP_REFERER 判断是否等于 http://192.168.0.3/a.aspx

我想请教大家的是有没有办法我不通过伪造页面来源,就是有没有办法通过 http://192.168.0.4/c.aspx 提交到b.aspx能成功吗?
...全文
150 10 打赏 收藏 转发到动态 举报
写回复
用AI写文章
10 条回复
切换为时间正序
请发表友善的回复…
发表回复
凋零的老树 2008-12-09
  • 打赏
  • 举报
 回复
d
凋零的老树 2008-12-08
  • 打赏
  • 举报
 回复
能具体提示吗?
zorou_fatal 2008-12-03
  • 打赏
  • 举报
 回复
搜索 http header referer
凋零的老树 2008-12-03
  • 打赏
  • 举报
 回复
Referer可以伪造。


怎么伪造?
zorou_fatal 2008-11-25
  • 打赏
  • 举报
 回复
Referer可以伪造。
hztltgg 2008-11-25
  • 打赏
  • 举报
 回复
你这个是跨站点的,session要考虑保存到数据库里去。
凋零的老树 2008-11-25
  • 打赏
  • 举报
 回复
两个系统要用也只能用 cookie 如果浏览禁止使用cookie 那不就得想别的办法吗?
hztltgg 2008-11-24
  • 打赏
  • 举报
 回复
这个就是身份认证,一般用session或者cookie来做的呀,不会用来源来做验证的,除非特殊页面安全性要求更好的情况
winner2050 2008-11-24
  • 打赏
  • 举报
 回复
在登录页生成cookie或者Session

其他页面打开的时候检查一下。
tommy9802 2008-11-24
  • 打赏
  • 举报
 回复
Session就可以吧
php 伪造HTTP_REFERER页面URL来源的三种方法
php获取当前页面的前一个页面URL地址,即当前页面是从哪个页面链接过来的,可以使用$_SERVER[‘HTTP_REFERER’],但是这个来源页面的URL地址是可以被伪造和欺骗的,本文章向大家介绍伪造HTTP_REFERER页面URL的三种方法,需要的朋友可以参考一下。 $_SERVER[‘HTTP_REFERER’]是php用来判断页面上级来源页面的一个超级变局变量了,我们可以使用$_SERVER[‘HTTP_REFERER’]来判断是从哪个页面进入到此页面了,这样我们可以进行更好的跟踪了。 但是$_SERVER[‘HTTP_REFERER’]也是可以被伪造欺骗的,有三种方法可以伪造
IIS FILTER AntiRange.rar
IIS筛选器,可以禁用断点续传。用户从装有本筛选器的IIS站点上下载文件时,只能从文件头部开始下,不能中途续传。目前个人网站上的文件被盗链现象很普遍,尤其是迅雷、flashget等P2SP下载软件均实现了伪造访问来源,使用这些软件的用户为了实现下载速度最大化,通常无须访问您的页面,就能从您的服务器下载文件的部分内容。在禁用断点续传后,可以让服务器很大程度上限制P2SP软件的非法下载。
SSRF服务器端请求伪造漏洞精讲+实验
程声明:该课程是教学使用,视频内涉及漏洞利用方法,请勿在互联网环境中使用;维护互联网安全,人人有责。实验所需环境:vmware;kali虚拟机一台;windows server一台;有docker环境的Linux虚拟机环境下载地址在购买课程后单独发送 【课程配套资源】1、Python脚本(Margin老师自研,不光能学漏洞,还能学Python,实在是划算)2、与Margin老师实时互动3、免费的CISP-PTE考试技巧指导(Margin老师与CISP-PTE的负责人很熟的,非常多的一手消息^o^)4、Margin老师的内部直播可以优先参加5、Margin老师的课程基于CISP-PTE的知识体系进一步扩展,使课程内容更贴近实战   【课程主要解决问题】1、CSRF、SSRF搞不清楚?2、SSRF原理是什么?危害大小?如何利用SSRF获取主机权限?如果使用Python提高挖洞效率?3、Gopher协议、Dict协议?完全没听过啊,没关系,看完课程后你门清。4、SSRF渗透Redis数据库,Redis客户端和服务器端怎么通信?通信报文是怎么样的?看这里就行。5、SSRF渗透Struts2总是失败?不知道如何编码?不知道如何使用Gopher协议?来这里。6、SSRF表面简单,实则有无数坑,通过视频提高学习效率吧。 【CISP-PTE介绍】1、CISP-PTE是进入网络安全行业的TOP1认证,能帮你梳理完整的网络安全知识体系2、有PTE证书在网络安全公司是免技术笔试的,怎么样?是不是很棒。3、Margin老师的课程基于CISP-PTE的知识体系进一步扩展,使课程内容更贴近实战本课程属于CISP-PTE渗透测试工程师认证体系的课程,但内容更加丰富。CISP-PTE是国内第一个以动手实操为主的网络安全认证,该注册考试是为了锻炼考生世界解决网络安全问题的能力,持续增强我国的网络安全水平和防御能力,促进国内网络防御能力的不断提高。考试内容从多个层面进行,考点和网络安全动态相结合,真实的反应出真实的网络环境中发现的各种问题。如果要考取CISP-PTE证书需要掌握以下内容:1、Web安全基础,注入漏洞、上传漏洞、跨站脚本漏洞、访问控制漏洞、会话管理漏洞哦等。2、中间件的安全知识,如:Apache,IIS,Tomcat,以及 JAVA 开发的中间件 Weblogic,Jboss, Websphere 等,且要了解中间件加固方法,在攻与防的能力上不断提升。3、操作系统安全,包含Windows和Linux操作系统,从账户管理、文件系统权限、日志审计等方面讲解,了解常见的漏洞方式和加固方法。4、数据库安全,包含MSSQL、MYSQL、ORACLE、REDIS数据,了解常用的数据库漏洞和题全方法,保证数据库的安全性。 【关于Margin老师】· Margin/教育系统网络安全保障人员认证首批讲师/高级讲师· 擅长CTF/Web安全/渗透测试 /系统安全· 3年研发/擅长Java/Python/某银行现金循环机业务系统开发者· 曾参与开发网络安全认证教材· 知乎专栏/CISP-PTE渗透测试工程师学习· 4年线下网络安全讲师/2000+线下学员/100000+线上学员
IIS FILTER AntiRange
IIS筛选器,可以禁用断点续传。用户从装有本筛选器的IIS站点上下载文件时,只能从文件头部开始下,不能中途续传。目前个人网站上的文件被盗链现象很普遍,尤其是迅雷、flashget等P2SP下载软件均实现了伪造访问来源,使用这些软件的用户为了实现下载速度最大化,通常无须访问您的页面,就能从您的服务器下载文件的部分内容。在禁用断点续传后,可以让服务器很大程度上限制P2SP软件的非法下载。
解决js下referer兼容各大浏览器的方法
HTTP Header referer这玩意主要是告诉人们我是从哪儿来的,就是告诉人家我是从哪个页面过来的,可以用于统计访问本网站的用户来源,也可以用来防盗链。获取这个东西最好的方式是js,如果在服务器端获取(PHP方法如:$_SERVER[‘HTTP_REFERER’]) 不靠谱,人家可以伪造,用js获取最好,人家很难伪造, 方法:利用js的 document.referer 方法可以准确地判断网页的真实来路。 目前百度统计,google ads统计,CNZZ统计,都是用的这个方法。防盗链也很简单了,js里判断来路url如果不是本站不显示图片。 众所周知,我们web开发人员痛恨IE浏览器,因
.NET社区

62,041

社区成员

669,051

社区内容

发帖
与我相关
我的任务
社区描述
.NET技术交流专区
javascript云原生 企业社区
社区管理员
  • ASP.NET
  • .Net开发者社区
  • R小R
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告

.NET 社区是一个围绕开源 .NET 的开放、热情、创新、包容的技术社区。社区致力于为广大 .NET 爱好者提供一个良好的知识共享、协同互助的 .NET 技术交流环境。我们尊重不同意见,支持健康理性的辩论和互动,反对歧视和攻击。

希望和大家一起共同营造一个活跃、友好的社区氛围。

试试用AI创作助手写篇文章吧

+ 用AI写文章