全球主机交流论坛

标题: 一个NGINX无LUA的cookie签名测试 [打印本页]

---

作者: 360安全卫士    时间: 2012-11-12 17:18
标题: 一个NGINX无LUA的cookie签名测试


演示：http://42.121.80.131/a.rar
http://42.121.80.131/lazyzhu.html

1. server {
   
2. server_name f4ck;
   
3. location /lazyzhu.html{
   
4.    set $x_key "sdfdfhgsd\#\$\@\@";
   
5.    set $x_mjj $x_key$remote_addr$useragent$year$month$day$hour;
   
6.    set_md5 $x_x_cookie $x_mjj;
   
7.    more_set_headers "Content-Type:text/html; charset=UTF-8";
   
8.    more_set_headers "Set-Cookie: crypted=$x_x_cookie;"
   
9.    echo "he is a mjj<script>setTimeout(function(){location.href='a.rar'},3000);</script>";
   
10. }
    
11. location /a.rar {
    
12.   expires 8640000;  #这里可以控制缓存头，节省服务器开销。
    
13.   set $x_key "sdfdfhgsd\#\$\@\@";
    
14.    set $x_mjj $x_key$remote_addr$useragent$year$month$day$hour;
    
15.    set_md5 $x_x_cookie $x_mjj;
    
16.    more_set_headers "Content-Type:text/html; charset=UTF-8";
    
17.    if ( $x_x_cookie != $cookie_crypted ) {
    
18.       echo "Your are a mjj!!!";
    
19.       #未加密COOKIE直接请求时会输出
    
20.    }
    
21.    if ( $x_x_cookie = $cookie_crypted ) {
    
22.         echo "You have jj.";
    
23.    }
    
24. 
    
25. }
    
26. }

复制代码

---

作者: 小白白    时间: 2012-11-12 17:19
测试

---

作者: Code    时间: 2012-11-12 17:21
然后呢，想表达神马

---

作者: lazyzhu    时间: 2012-11-12 17:26
先去看看这篇：http://wiki.nginx.org/IfIsEvil

---

作者: 360安全卫士    时间: 2012-11-12 17:57

lazyzhu 发表于 2012-11-12 17:26
先去看看这篇：http://wiki.nginx.org/IfIsEvil

感觉这跟有人纠结NGINX对304支持不友好的本质是一样的   不同人有不同理解

我喜欢C效率般的执行速度。

亲，可以帮我配配json_rds_drizzle模块么？我配了几个月都没成功

---

作者: caoliu4    时间: 2012-11-12 18:19
顶帖是一个学习的过程，楼下杂说？

---

作者: lazyzhu    时间: 2012-11-12 18:23
IDM下载失败。。。
迅雷无法下载。。。

---

作者: caoliu4    时间: 2012-11-12 18:36
技术帝，偶看不懂

---

作者: 360安全卫士    时间: 2012-11-12 21:22

lazyzhu 发表于 2012-11-12 18:23
IDM下载失败。。。
迅雷无法下载。。。

防迅雷还不好么？迅雷一个下载任务开几百个连接，我可不愿意

---

欢迎光临 全球主机交流论坛 (https://loc.niceguy.workers.dev/)

Powered by Discuz! X3.4