X-Forwarded-For伪造及防御

最新推荐文章于 2024-05-11 22:05:45 发布
最新推荐文章于 2024-05-11 22:05:45 发布
阅读量1.6k 收藏
点赞数 1
文章标签: 运维 后端 php
原文链接:http://www.cnblogs.com/drkang/p/8619810.html
版权

使用x-Forward_for插件或者burpsuit可以改包,伪造任意的IP地址,使一些管理员后台绕过对IP地址限制的访问。

防护策略:
1.对于直接使用的 Web 应用,必须使用从TCP连接中得到的 Remote Address,才是用户真实的IP;
2.对于使用 nginx 反向代理服务器的Web应用,nginx必须使用Remote Address正确配置set Headers,后端服务器则使用nginx传过来的相应IP地址作为用户真实IP;同时,后端服务器应使用X-Real-IP 或 X-Forwarded-For最后1段IP作为限制,允许自己的nginx服务器访问,禁止其它IP访问,禁止对外提供服务
构造 HTTP请求 Header 实现“伪造来源 IP ”

一般情况下确实是取$_SERVER['REMOTE_ADDR']就行了

上网找PHP获取真实IP会有许多不同版本的代码版本,有优先获取HTTP_CLIENT_IP的也有优先获取HTTP_X_FORWARDED_FOR的

其实我自己也不知道哪个才是对的,但这里大家都有一个共识:HTTP_CLIENT_IP和HTTP_X_FORWARDED_FOR都可以被伪造,

转载于:https://www.cnblogs.com/drkang/p/8619810.html

weixin_30564785
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
渗透测试-XFF漏洞攻击原理及防御方案
lza20001103的博客
04-15 2354
渗透测试-XFF漏洞攻击原理及防御方案
利用php curl更改http头实现伪造IP
07-04
利用php curl更改http头实现伪造IP
攻防世界-xff_referer
最新发布
MateSnake的博客
05-11 316
攻防世界-xff_referer
X-Forwarded-For伪造
m0_48867141的博客
03-14 3482
HTTP请求头中的X-Forwarded-For用来追踪请求的来源IP 应用案例:投票系统,防止刷票,需要限制一个IP只能投票一次 X-Forwarder-For 格式为 X-Forwarded-For: client1, proxy1, proxy2 X-Forwarder-For 包含多个IP地址,每个值通过逗号+空格分开,最左边(client1)是最原始客户端的IP地址,中间如果有多层代理,每一层代理会将连接它的客户端IP追加在X-Forwarded-For右边。 如果一个 HTT...
python3-requests伪造x-forwarded-for以及解决
thewindkee的博客
01-11 7370
通常,我们的服务器会有一级或者多级的反向代理, 因此我们代码中拿remote_addr会取到最后一级反向代理的ip。为了拿到真实ip,常常会去x-Forward-For中拿用户最后一级代理Ip。但是由于该值是header中的, 直接去取可能取到用户伪造Ip。 x-forwarded-for资料 这一HTTP头一般格式如下: X-Forwarded-For: client1, proxy1...
X-Forwarded-For注入漏洞实战
Language_Sumuzhe的博客
05-23 7615
题目:X-Forwarded-For注入漏洞实战 知识点: 是HTTP请求头中XFF的伪造和应用,是一道借用XFF来爆破数据库、表、列以及列值的题目。先输入账户为admin,密码为123456进行登录尝试,出现了弹窗,仔细观察弹窗会发现类似IP地址格式的112.111.12.126数据存在,猜测这是服务端记录并显示了客户端的IP地址。 首先了解服务端如何获取客户端请求IP地址? 服务端获取客户端请求IP地址,常见的包括:x-forwarded-for、client-ip等请求头,以及remote_add
关于X-Forwarded-For被伪造情况下获取真实ip的处理
猪肉炖白菜
09-03 3092
背景 在风控场景下,有很多基于客户端ip的风控规则。通常通过http协议头中的X-Forwarded-For来获取ip,但该字段很容易被伪造,这种情况下该如何处理? 概念 X-Forwarded-ForX-Forwarded-For 是一个扩展头。HTTP/1.1(RFC 2616)协议并没有对它的定义,它最开始是由 Squid 这个缓存代理软件引入,用来表示 HTTP 请求端真实 IP,现在已经成为事实上的标准,被各大 HTTP 代理、负载均衡等转发服务广泛使用,并被写入 RFC 7239(For.
Chrome插件:X-Forwarded-For Header
12-15
标题“Chrome插件:X-Forwarded-For Header”揭示了本文将深入探讨一个专门针对Google Chrome浏览器的扩展应用,该插件的主要功能是处理和设置HTTP头中的`X-Forwarded-For`字段。`X-Forwarded-For`(简称XFF)头是一...
X-Forwarded-For火狐插件
01-10
X-Forwarded-For火狐插件
forwarded:解析HTTP X-Forwarded-For标头
05-11
从请求中解析X-Forwarded-For标头。 以相反的顺序返回地址数组,包括req的套接字地址(即索引0是套接字地址,最后一个索引是最远的地址,通常是最终用户)。 测验 $ npm test 执照 麻省理工学院
X-Forwarded-For Header-crx插件
04-02
此扩展允许您快速更新X-Forwarded-For,X-Originating-IP,X-Remote-IP和X-Remote-Addr HTTP标头,以进行各种测试。 变更日志:v0.6.2-修复了干扰此扩展的Firefox版本的错误v0.6.1-修复了CORS预检请求的问题v0.6.0-...
X-Forwarded-For Header_0.6.2_0.zip
08-24
此扩展允许您快速更新各种 X-Forwarded-For、X-Originating-IP、X-Remote-IP 和 X-Remote-Addr HTTP 标头 打开Chrome浏览器的扩展程序: 地址栏直接输入:chrome://extensions/ 把下载到的文件解压后,点击加载已...
php http_x_forwarded_for,容易被忽略的HTTP_X_FORWARDED_FOR攻击
weixin_29557763的博客
03-11 854
function getIP() {if (isset($_SERVER[‘HTTP_X_FORWARDED_FOR’])) {$realip = $_SERVER[‘HTTP_X_FORWARDED_FOR’];} elseif (isset($_SERVER[‘HTTP_CLIENT_IP’])) {$realip = $_SERVER[‘HTTP_CLIENT_IP’];} else {$r...
普通代理IP如何避免被X-Forward-For发现?
ffhh123321的博客
08-22 753
代理IP的一大优势是我们可以通过IP地址的切换,让我们的真实IP地址在上网的时候得到很好的隐藏,根据不同的隐匿效果,代理IP可以分为透明代理、普通代理、高匿代理这几种。 透明代理的隐私度较差,普通代理能够用一些技术手段被破除,那么,是不是用普通代理就一定会被 X-Forward-For 发现? 在解读 RFC7239 - Example Usage 时,我们了解到 X-Forward-For 会记录原始 IP,在使用多层 IP 代理的情况下记录的是上层 IP。利用这个特点,是不是可以伪造一下呢? 既然 X-
PHP获取客户端IP
weixin_34323858的博客
07-19 87
$_SERVER() 和 getenv() 获取的结果是一样的。此外的三个值区别如下:一、没有使用代理服务器的情况: REMOTE_ADDR = 您的 IPHTTP_VIA = 没数值或不显示HTTP_X_FORWARDED_FOR = 没数值或不显示二、使用透明代理服务器的情况:Transparent Proxies REMOTE_ADDR = 最后一个代理服务器 IP H...
“burpsuit中repeater功能如何使用”及“如何修改X-Forwarded-For和Referer”
Xionghuimin的博客
11-23 4806
一、以下题为例 “ XCTF攻防世界web新手练习—xff_referer ” X老师告诉小宁其实xff和referer是可以伪造的。 X-Forwarded-For和Referer的定义以及该题的文字描述解题过程见下方这两个写的比较好的博客 https://blog.csdn.net/silence1_/article/details/89646461 https://blog.csdn.ne...
bugku 管理员的系统(X-forwarded-for)
wssmiss的博客
07-21 260
管理员的系统 猜测应该要使用本地ip访问 想到XFF,详细知识请移步大佬网页 于是用burpsuit抓包,抓包后改写报头,加入X-Forward-For:127.0.0.1 伪造是本地ip请求服务器 之后在这里卡了很久,没有其他线索,也拿不到flag,直到,,,我打开了网页源代码!!! base64解码后test123猜测可能是管理员密码 Go一下,得到flag ...
php中HTTP_X_FORWARDED_FOR 和 REMOTE_ADDR的使用
weixin_30251829的博客
12-18 240
1.REMOTE_ADDR:浏览当前页面的用户计算机的ip地址2.HTTP_X_FORWARDED_FOR: 浏览当前页面的用户计算机的网关3.HTTP_CLIENT_IP:客户端的ipPHP 中使用 $_SERVER["REMOTE_ADDR"] 来取得客户端的 IP 地址,但如果客户端是使用代理服务器来访问,那取到的就是代理服务器的 IP 地址,而不是真正的客户端 IP 地址。要想透过代...
WEB安全-伪造X-Forwarded-For绕过服务器IP地址过滤
热门推荐
06-01 2万+
转自:http://www.jianshu.com/p/98c08956183d 在正常的TCP/IP 通信中,是可以伪造数据包来源 IP 的,但这会让发送出去的数据包返回到伪造IP上,无法实现正常的通信。 实现TCP/IP层级别的伪造很难,因为很难实现正常的TCP连接;但是在应用层协议HTTP上的实现较容易,通过伪造IP,能欺骗多数服务器应用程序实现通信。对于绕过服务器的IP地址过
XFF (X-Forwarded-For) 伪造
07-27
X-Forwarded-For (XFF) 是一个 HTTP 请求头,用于标识客户端的原始 IP 地址。它通常被代理服务器用于传递请求的真实来源,以便目标服务器能够获取到正确的客户端 IP 地址。 然而,由于 XFF 是一个可编辑的请求头,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值