一个NGINX无LUA的cookie签名测试

360安全卫士 · 发表于 2012-11-12 17:18:22

本帖最后由 360安全卫士于 2012-11-12 18:13 编辑

演示：http://42.121.80.131/a.rar
http://42.121.80.131/lazyzhu.html

server {
server_name f4ck;
location /lazyzhu.html{
set $x_key "sdfdfhgsd\#\$\@\@";
set $x_mjj $x_key$remote_addr$useragent$year$month$day$hour;
set_md5 $x_x_cookie $x_mjj;
more_set_headers "Content-Type:text/html; charset=UTF-8";
more_set_headers "Set-Cookie: crypted=$x_x_cookie;"
echo "he is a mjj<script>setTimeout(function(){location.href='a.rar'},3000);</script>";
}
location /a.rar {
expires 8640000; #这里可以控制缓存头，节省服务器开销。
set $x_key "sdfdfhgsd\#\$\@\@";
set $x_mjj $x_key$remote_addr$useragent$year$month$day$hour;
set_md5 $x_x_cookie $x_mjj;
more_set_headers "Content-Type:text/html; charset=UTF-8";
if ( $x_x_cookie != $cookie_crypted ) {
echo "Your are a mjj!!!";
#未加密COOKIE直接请求时会输出
}
if ( $x_x_cookie = $cookie_crypted ) {
echo "You have jj.";
}
}
}

复制代码

lazyzhu · 发表于 2012-11-12 18:23:59

IDM下载失败。。。
迅雷无法下载。。。

Code · 发表于 2012-11-12 17:21:39

然后呢，想表达神马

小白白 · 发表于 2012-11-12 17:19:52

测试

lazyzhu · 发表于 2012-11-12 17:26:58

先去看看这篇：http://wiki.nginx.org/IfIsEvil

360安全卫士 · 发表于 2012-11-12 17:57:51

lazyzhu 发表于 2012-11-12 17:26
先去看看这篇：http://wiki.nginx.org/IfIsEvil

感觉这跟有人纠结NGINX对304支持不友好的本质是一样的不同人有不同理解

我喜欢C效率般的执行速度。

亲，可以帮我配配json_rds_drizzle模块么？我配了几个月都没成功

caoliu4 · 发表于 2012-11-12 18:19:00

顶帖是一个学习的过程，楼下杂说？

caoliu4 · 发表于 2012-11-12 18:36:35

技术帝，偶看不懂

360安全卫士 · 发表于 2012-11-12 21:22:55

lazyzhu 发表于 2012-11-12 18:23
IDM下载失败。。。
迅雷无法下载。。。

防迅雷还不好么？迅雷一个下载任务开几百个连接，我可不愿意

		自动登录	找回密码
密码			注册