X-Forwarded-For绕过服务器IP地址过滤

最新推荐文章于 2025-07-05 10:49:47 发布
最新推荐文章于 2025-07-05 10:49:47 发布
阅读量1.3w 收藏 9
点赞数 4
CC 4.0 BY-SA版权
分类专栏: 安全 文章标签: HTTP头
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caiqiiqi/article/details/72852083
本文探讨了在HTTP通信中通过伪造X-Forwarded-For头来实现IP地址欺骗的技术细节及其应用场景。详细解释了X-Forwarded-For的作用原理、格式及如何利用该字段绕过服务器的IP地址过滤机制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

参考:
http://www.jianshu.com/p/98c08956183d
https://github.com/bl4de/ctf/blob/master/2017/nullcon_HackIM_2017/Web1.md

看到一个CTF题中有一个与X-Forwarded-For有关的。
通过在HTTP头中设置

X-Forwarded-For: 127.0.0.1

在正常的TCP 通信中,是可以伪造数据包来源 IP 的,但这会让发送出去的数据包返回到伪造的IP上,无法实现正常的通信。

实现TCP层级别的伪造很难,因为很难实现正常的TCP连接;但是在应用层协议HTTP上的实现较容易,通过伪造IP,能欺骗多数服务器应用程序实现通信。对于绕过服务器的IP地址过滤或者伪造来源IP特别有用,导致的后果就是非授权IP能访问服务器,甚至能钻服务器的漏洞。

关于X-Forwarded-For

HTTP 连接基于 TCP 连接,HTTP 协议中没有 IP 的概念,只能通过X-Forwarded-For来实现。
X-Forwarded-For位于HTTP协议的请求头, 是一个 HTTP 扩展头部。HTTP/1.1(RFC 2616)协议并没有对它的定义,它最开始是由 Squid 这个缓存代理软件引入,用来表示 HTTP 请求端真实 IP。如今它已经成为事实上的标准,被各大 HTTP 代理、负载均衡等转发服务广泛使用,并被写入RFC 7239(Forwarded HTTP Extension)标准之中。
其格式为:

X-Forwarded-For: client, proxy1, proxy2

最开始的是离服务端最远的设备 IP(即客户端IP),然后是每一级代理设备的 IP。

总结

目前很多Web 应用(例如获取用户所在地区,基于 IP 做访问频率控制,禁止某些IP访问等等),为了获取用户真正的 IP,从 HTTP 请求头中获取 IP地址。
对于直接使用的 Web 应用,必须使用从TCP连接中得到的 Remote Address,才是用户真实的IP

【网络安全】X-Forwarded-For漏洞成因及防范
等风来
11-08 3964
最终,当请求到达Web应用服务器时,可以通过读取X-Forwarded-For,取出最左边的IP地址来获取客户端的真实IP。由于X-Forwarded-For是可以被客户端伪造的,攻击者可以在发送请求时,手动添加伪造的X-Forwarded-For。由于每层代理服务器在转发请求时只是简单地追加IP地址,而不是覆盖该,因此最终到达应用服务器时,获取到的X-Forwarded-For的最左边第一个IP很可能并不是客户端的真实IP,而是伪造的IP地址。即使存在伪造 IP,这种方法也能识别出真实 IP
CTF之路:关于X-Forwarded-For注入
zw05011的博客
01-05 3386
题目 输入任意用户名密码登录,显示IP禁止访问。 知识点 伪造XFF绕过服务器IP过滤 IP伪造 TCP/IP层面的IP伪造很难实现,因为更改后很难实现正常的TCP通信,但在HTTP层面的伪造就显得很容易。可以通过伪造XFF进行IP伪造 XFF字段 X-Forwarded-For(XFF)简称XFF,是HTTP 报文部的关键字段之一。代表了HTTP的请求端真实的IP。它被认为是客户端通过HTTP代理或者负载均衡器连接到web服务端获取源ip地址的一个标准(通常一些网站的防注入..
bugku ctf 管理员系统 (伪造x-forwarded-for绕过服务器IP)
qq_42777804的博客
05-18 4700
随便输入 发现 ip禁止访问 与本地管理员联系登陆 我们查看源码 到最后发现 <!-- dGVzdDEyMw== --> 在线base64解密得到 test123 Username: admin Password:test123 发现居然还是不能提交 那么burp抓包 发给 repeater 发现了可以通...
WEB安全-伪造X-Forwarded-For绕过服务器IP地址过滤
热门推荐
06-01 2万+
转自:http://www.jianshu.com/p/98c08956183d 在正常的TCP/IP 通信中,是可以伪造数据包来源 IP 的,但这会让发送出去的数据包返回到伪造的IP上,无法实现正常的通信。 实现TCP/IP层级别的伪造很难,因为很难实现正常的TCP连接;但是在应用层协议HTTP上的实现较容易,通过伪造IP,能欺骗多数服务器应用程序实现通信。对于绕过服务器IP地址
高匿代理的匿名层级测试:X-Forwarded-For如何泄露你的真实身份?
最新发布
ip_xiaobai的博客
07-05 526
真正的隐身不止于“隐藏IP”,更要。
安全测试——XFF绕过
jin719的博客
09-18 1306
X-Forwarded-For进行IP伪造,可以使用某IP访问后台。
Discuz!X 系列 HTTP_X_FORWARDED_FOR 绕过限制进行密码爆破
aixuan9365的博客
05-29 570
分析有个不对的地方:http://wooyun.jozxing.cc/static/bugs/wooyun-2014-080211.html 后面再补 这个漏洞比较简单。 我们看到配置文件来。/include/common.inc.php 第86-94行。 if(getenv('HTTP_CLIENT_IP') && strcasecmp(geten...
获取用户Ip地址通用方法与常见安全隐患(HTTP_X_FORWARDED_FOR)
10-27
2. **HTTP_X_FORWARDED_FOR**: 该方法依赖于HTTP协议的X-Forwarded-For部字段,用于识别经过HTTP代理或负载均衡器后的客户端IP地址。如果请求通过一个或多个代理传递,那么HTTP_X_FORWARDED_FOR部字段会包含经过...
负载均衡:x-forward-for获取客户端真实ip
weixin_30667649的博客
03-04 2166
先来看一下X-Forwarded-For的定义: X-Forwarded-For:简称XFF,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。它不是RFC中定义的标准请求信息,在squid缓存代理服务器开发文档中可以找到该项的详细介绍。标准格式如下: X-Forwarded-For: client1, proxy1,...
php代码审计之x-forwarded-for注入漏洞
cj_Hydra's Blog
02-06 2089
前言: x-forwarded-for大家应该都不陌生,是用来获取客户端的ip地址的,在实际开发应用中也是非常广泛的,今天这篇博客的主要内容就是x-forwarded-for注入xss代码来获得管理员cookie。 审计的源码还是上次install.php重装漏洞的源码。 步骤: 1.访问正常用户登录页面如下:2.找到源码中对应的文件进行审计,代码如下: <?php include_once...
php伪造http实现IP欺骗
07-19
可以伪造出http,以达到修改请求来源的方法。
CTF实验:X-Forwarded-For注入
floyd_art的博客
04-01 1683
SQL注入漏洞介绍 SQL注入攻击指用用户构建特殊的输入作为参数传入Web应用程序,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 任何一个用户可以输入的位置都可能是注入点。比如url中,以及http报文中; 信息探测 扫描主机服务信息以及服务版本 – nmap -sV 靶场IP地址 快速扫描主机全部信息 – nmap -T4 ...
什么是IP阻止,能阻止什么,我们又应如何绕过IP地址的阻止
a_fit的博客
04-06 1万+
相信很多人都遇到过这样一个问题,当我们想要访问某个网站时,却出现被网站限制访问的情况。其实最主要的原因是我们的IP地址在请求访问时被阻止了,那么为何我们的IP会被阻止呢,其中的原理又是什么,我们应该如何绕开IP地址的阻止呢?在本文中我们来一一介绍。
SSRF绕过IP限制方法总结
weixin_30575309的博客
09-04 1386
SSRF绕过IP限制方法总结 - Summary of SSRF methods for bypassing IP restrictions -https://www.cnblogs.com/iAmSoScArEd/p/11458850.html 一、SSRF简介 SSRF(Server-Side Request Forgery,服务器端请求伪造):通俗的来说就是我们可以伪造服务器...
xff(x-forwarded-for)介绍,某些ctf题目中的利用
09-07 8731
IP伪造 TCP/IP层面的IP伪造很难实现,因为更改后很难实现正常的TCP通信,但在HTTP层面的伪造就显得很容易。可以通过伪造XFF进行IP伪造 XFF字段 X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址HTTP请求字段。通俗来说,就是浏览器访问网站的IP。一般格式: X-Forwarded-For: clien...
nginx X-Forwarded-For伪造漏洞及防范
LOOPY_Y的博客
02-19 4786
X-Forwarded-For 作为 HTTP 请求的扩展,在请求的过程中可以被直接的进行修改。本人讲述如何通过nginx的配置进行防范
x-forwarded-for
CodingDream
03-28 721
use x-forwarded-for   X-Forwarded-For (XFF )是用来识别通过HTTP 代理 或负载均衡 方式连接到Web服务器 的客户端最原始的IP地址 的HTTP请求字段。 Squid 缓存代理服务器的开发人员最早引入了这一HTTP字段,并由IETF 在Forwarded-For HTTP字段标准化草案 中正式提出。 当今多数缓存服务器
php代码如何修复X-Forwarded-For漏洞
05-18
X-Forwarded-For漏洞是一种HTTP部注入攻击,攻击者可以通过修改HTTP请求中的X-Forwarded-For部来伪造用户的IP地址,从而绕过IP地址限制等安全措施。修复该漏洞需要在代码中对X-Forwarded-For部进行过滤和验证。 以下是一些PHP代码示例,可以用于修复X-Forwarded-For漏洞: 1. 使用正则表达式过滤X-Forwarded-For部: ```php $xff = $_SERVER['HTTP_X_FORWARDED_FOR']; if(preg_match('/^([0-9]{1,3}\.){3}[0-9]{1,3}$/', $xff)) { // X-Forwarded-For部格式正确,可以使用该IP地址 } else { // X-Forwarded-For部格式不正确,可能是攻击者伪造的IP地址,需要进行处理或拒绝该请求 } ``` 2. 只接受已知的代理服务器IP地址: ```php $xff = $_SERVER['HTTP_X_FORWARDED_FOR']; $proxy_ips = array('192.168.1.1', '192.168.1.2'); // 已知的代理服务器IP地址 if(in_array($xff, $proxy_ips)) { // X-Forwarded-For部来自已知的代理服务器,可以使用该IP地址 } else { // X-Forwarded-For部来自未知的代理服务器或攻击者,需要进行处理或拒绝该请求 } ``` 3. 使用PHP框架中的内置函数过滤X-Forwarded-For部: 如果你使用的是PHP框架,例如Laravel、Symfony、Yii等,可以使用框架中的内置函数来过滤X-Forwarded-For部。以下是Laravel框架中的示例代码: ```php $ip = request()->ip(); ``` 该代码中,`request()->ip()`函数会自动检测并过滤X-Forwarded-For部,返回正确的客户端IP地址
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值