真正的体会了一把IP欺骗

最新推荐文章于 2023-03-23 21:51:47 发布
最新推荐文章于 2023-03-23 21:51:47 发布
阅读量454 收藏
点赞数
文章标签: 运维
我们公司的产品几年来一直饱受黑客暴力猜测密码攻击,一直以来有一个重要的安全策略就是基于IP地址的安全防护.也就是一个地址尝试错误超过10次,就会锁一天.

最近要开发一个跟精细的功能,就是如果用户突然换了一个地域登录,这样就会提示用户输入验证码.这个策略也是基于IP的.

因为我们的产品使用了Ngnix,所以IP的获取也就是通过 X-Forward-For 为了方便测试,测试时切换IP不是很方便,我就尝试找一个方法伪造IP地址测试服务器,最后找到了Firfox插件"Modify Headers", 这个可以很方便的就伪造了一个HTTP Header,在测试服务器上测试,果然欺骗成功了.

在测试服务器上测试成功之后,我突然想何不到产品上面去试试,一试吓一跳,居然把产品也骗了,我的IP被锁了之后,我只要换一个Http头,锁就解了.

经过分析,发现我们服务器的Ngnix设置写X-Forward-For 使用的是追加方式,不是替换.设置替换之后,这个问题就解决了.

还好我们的Nginx上线也就一个月左右,黑客好像还没有发现这个漏洞.要不攻击我们的IP地址就不是一直是1W个左右,会有一个跳跃的上升了.
iteye_18979
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Burpsuite插件 -- 伪造IP
KHOST的博客
08-05 4235
今天给大家介绍一款Burpsuite插件,burpFakeIP 一、下载地址 https://github.com/TheKingOfDuck/burpFakeIP 二、安装插件 1、解压到本地 2、打开burpsuite,选择Extender,Add 3、选择下载好python插件,选择下一步 4、安装成功 三、使用方法 1、伪造指定ip,右击抓到的数据包,选择fakeip,inputIP,输入想要用的ip地址,点击确定,自动添加 2、伪造本地...
java实现验证码功能源码-TCP_Flooding_IP_SPoofing:从随机IP源地址和IP源端口进行IP欺骗的SYN攻击
06-05
java实现验证码功能源码
您的ip不在许可范围以内解决办法
热门推荐
高飞的博客
12-28 32万+
您的ip不在许可范围以内解决办法
SQL注入之HTTP头注入漏洞
Eagle_pompom的专栏
04-25 4094
输入参数主要覆盖范围有: HTTP 查询字符参数(GET):输入参数通过URL发送 HTTP 正文参数(POST):输入参数通过HTTP正文发送 HTTP Cookie参数:输入参数通过HTTP cookie发送 HTTP Headers:HTTP提交应用程序使用的头,包括User-agent和Referer头字段 潜在的HTTP头SQL注入有:Cookie, User-agent, R...
系统安全实验(伪造IP,输出重定向获取flag)
最新发布
weixin_53562571的博客
03-23 565
在Linux系统中文件的权限是很重要的一部分,通常的权限由读、写、执行三位组成,对每个文件都指定了文件所有者、同用户组的权限和其它非本用户组的权限。我们现在要查找的是SUID这种特殊权限,所以要使用的必然是四位数字组合。注意,数字0表示忽略相应位置的权限,也就是说不考虑rwx权限,所以4000就表示查找被设置了SUID权限的文件,至于其它的rwx权限则根本不考虑。如果不加“-”,表示精确匹配,也就是查找的文件权限就是“4000”,除了suid权限之外,其它的rwx权限通通没有,这明显不符合要求。
jmeter之ip欺骗脚本
05-10
ip欺骗jmeter
Jmeter设置ip欺骗
04-25
Jmeter设置ip欺骗
进行IP欺骗.txt
06-12
有些程序可能对同一IP大量访问做了限制,因此LoadRunner测试时,需要进行IP欺骗。其他情况,倒是不怎么需要进行。
arp.rar_IP地址 发送_欺骗ip
09-20
ARP欺骗是一种网络安全攻击手段,攻击者通过发送虚假的ARP响应包来篡改目标主机和网络设备之间的IP-MAC映射关系,使得数据流被定向到攻击者那里。描述中提到的“如果对方的机器开启,向指定的IP地址主机持续发送目的...
ip欺骗设置教程
10-23
IP欺骗在IT行业中,特别是在性能测试领域,是一种用于模拟真实网络环境的技术。它涉及到更改或伪装网络连接的源IP地址,以实现特定目的,如测试服务器的负载平衡能力或者绕过某些访问限制。本教程主要关注如何在...
IP欺骗方法
11-04
用于对LR的IP欺骗方法及操作。有助于新手使用
python伪造IP多线程发送http请求
11-22
注,需要安全scapy 在centos下,请执行以下脚本安装scapy #!/usr/bin sh cd /tmp wget scapy.net unzip scapy-latest.zip cd scapy-2.* python setup.py install 需要手工启动和杀线程关闭 经测python2可用
python 伪造源ip_IP欺骗 - Python_ZEN - 博客园
weixin_39610807的博客
12-19 1418
通过一番测试,我发现当我连续提交3份问卷,再换一个IP提交3个问卷,也就是连续提交了6份问卷,并没有触发网站的反爬虫机制。所以我们可以猜测对方基于IP提交问卷的频率来识别爬虫程序的。看到这里,大家可能会想,我们可以通过网上的免费代理来提交问卷。例如这些那是不是意味着我们还要往python代码中添加提取免费代理IP的功能呢?NO NO NO!换个思路,在CTF比赛中会遇到一种题目,例如你的IP是来自...
Python渗透测试之网络嗅探与欺骗
waqqy的博客
05-01 2638
文章目录网络数据嗅探编写一个网络嗅探工具常见的过滤器。调用WireShark来查看数据包ARP的原理与缺陷中间人欺骗编写一个完整的ARP欺骗程序使用 socket来实现例子 如果想要彻底了解一个网络,那么最好的办法就是对网络中的流量进行 嗅探 在本章中将会编写几个嗅探工具,这些嗅探工具可以用来窃取网络中 明文 传输的密码,监视网络中的数据流向,甚至可以收集远程登录所使用的NTLM数据包(这个数据包中包含登录用的用户名和使用Hash加密的密码) 网络数据嗅探 编写一个网络嗅探工具 在Scapy中提供了一种专
java 伪造http请求ip地址的方法
weixin_42415158的博客
02-20 2867
java 伪造http请求ip地址的方法
java 伪造http请求ip地址
weixin_34168700的博客
09-27 5032
最近做接口开发,需要跟第三方系统对接接口,基于第三方系统接口的保密性,需要将调用方的请求IP加入到他们的白名单中。由于我们公司平常使用的公网的IP是不固定的,每次都需要将代码提交到固定的服务器上(服务器IP加入了第三方系统的白名单),频繁的修改提交合并代码和启动服务器造成了额外的工作量,给接口联调带来了很大的阻碍。 正常的http请求 我...
性能测试工具LoadRunner应用
11-20
【本课程内容涵盖性能测试基本理论、性能测试需求分析、性能测试用例及场景设计、LoadRunner各个技能点具体使用、性能测试案例实战、LoadRunner脚本开发等内容,让您从零学起LoadRunner。本课程以实践驱动学习,以全新的方式为你呈现,清新脱俗独具特色的授课方式将带给你新的体验】
java ip欺骗_Loadrunner IP欺骗
weixin_42130786的博客
02-19 275
IP欺骗也是也loadrunner自带的一个非常有用的功能。需要使用ip欺骗的原因:1、当某个IP的访问过于频繁,或者访问量过大是,服务器会拒绝访问请求,这时候通过IP欺骗可以增加访问频率和访问量,以达到压力测试的效果。2、某些服务器配置了负载均衡,使用同一个IP不能测出系统的实际性能。LR中的IP欺骗通过调用不同的IP,可很大程度上的模拟实际使用中多IP访问和并测试服务器均衡处理的能力。3、有一...
电脑添加200个虚拟IP,用Jmeter实现IP欺骗
tyh_keephunger的博客
02-25 2041
给电脑添加200个虚拟IP 打开cmd并以管理员身份运行,执行for /l %i in (10,1,210) do netsh interface ip add address "以太网" 10.200.10.%i 255.255.254.0 #给电脑添加200个虚拟ip for /l %i in (起始数字,1,结束数字) do netsh interface ip add address "以太网" IP前缀.%i 子网掩码 注:“以太网”为网络连接名,通过控制面板→网络和Internet→网络和
VASE: Filtering IP spoofing traffic with agility
02-20
在网络安全领域,IP欺骗IP spoofing)是一种常见的攻击手段,它通过伪造源IP地址来实施各种恶意活动,如分布式拒绝服务(DDoS)攻击、中间人攻击等。标题中的"VASE"是一种创新的IP欺骗过滤机制,旨在以灵活的方式...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值