nginx X-Forwarded-For头伪造漏洞及防范

已于 2023-02-19 21:22:58 修改
阅读量2.9k 收藏 10
点赞数 1
文章标签: nginx 运维 网络
于 2023-02-19 21:21:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46505978/article/details/129113390
版权

nginx 防止X-Forwarded-For头伪造漏洞及防范

1 漏洞描述

X-Forwarded-For 作为 HTTP 请求的扩展头,在请求的过程中可以被直接的进行修改。正常情况下,我们所获得的 ips 第一部分应该是客户端 IP,但是如果客户端对 X-Forwarded-For 进行了修改,我们仍旧采用以上方法获得客户端 IP,那么客户端 IP 将会是被伪造过的。

2 修复建议

1、在直接对外的Nginx反向代理服务器上配置:proxy_set_header X-Forwarded-For $remote_addr;
2、如果有多层Nginx代理,内层的Nginx配置:proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

3 修复过程

原配置信息:

server {
        listen       8085;
        server_name  127.0.0.1;
        location /sys {
           proxy_pass http://127.0.0.1:8085/;
           proxy_http_version 1.1;
           proxy_set_header Host $host;
           proxy_set_header X-Real-IP $remote_addr;
           proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
           proxy_set_header Upgrade $http_upgrade;
           proxy_set_header Connection "upgrade";
        }
}

修改后配置信息:

server {
        listen       8085;
        server_name  127.0.0.1;
        location /sys {
           proxy_pass http://127.0.0.1:8085/;
           proxy_http_version 1.1;
           proxy_set_header Host $host;
           proxy_set_header X-Real-IP $remote_addr;
           # 防止X-Forwarded-For头伪造的主要设置在这里
           proxy_set_header X-Forwarded-For $remote_addr;
           proxy_set_header Upgrade $http_upgrade;
           proxy_set_header Connection "upgrade";
        }
}

4 验证结果

  • 测试方法:通过postman伪造客户端IP

在这里插入图片描述

  • 修改前,日志获取的操作IP地址存在伪造的IP地址

在这里插入图片描述

  • 修改后,日志获取的操作IPd地址正常

在这里插入图片描述

LOOPY_Y
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
X-Forwarded-For伪造
m0_48867141的博客
03-14 3327
HTTP请求的X-Forwarded-For用来追踪请求的来源IP 应用案例:投票系统,防止刷票,需要限制一个IP只能投票一次 X-Forwarder-For 格式为 X-Forwarded-For: client1, proxy1, proxy2 X-Forwarder-For 包含多个IP地址,每个值通过逗号+空格分开,最左边(client1)是最原始客户端的IP地址,间如果有多层代理,每一层代理会将连接它的客户端IP追加在X-Forwarded-For右边。 如果一个 HTT...
X-Forwarded-For Nginx 文档整理
01-18
x-forwarded-for
WEB安全-伪造X-Forwarded-For绕过服务器IP地址过滤
06-01 2万+
转自:http://www.jianshu.com/p/98c08956183d 在正常的TCP/IP 通信,是可以伪造数据包来源 IP 的,但这会让发送出去的数据包返回到伪造的IP上,无法实现正常的通信。 实现TCP/IP层级别的伪造很难,因为很难实现正常的TCP连接;但是在应用层协议HTTP上的实现较容易,通过伪造IP,能欺骗多数服务器应用程序实现通信。对于绕过服务器的IP地址过
利用X-Forwarded-For伪造客户端IP漏洞成因及防范
热门推荐
叉叉哥的BLOG
10-15 6万+
问题背景 在Web应用开发,经常会需要获取客户端IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。 如何获取客户端IP 在Java,获取客户端IP最直接的方式就是使用request.getRemoteAddr()。这种方式能获取到连接服务器的客户端IP,在间没有代理的情况下,的确是最简单有效的方式。但是目前互联网Web应用很少会将应用服务器直接对外提...
X-Forwarded-For客户端IP伪造防范
wutongyuWxc的博客
05-25 1万+
前言:由于互联网Web应用很少会将应用服务器直接对外提供服务,一般都会有一层Nginx做代理和负载均衡,有的甚至可能有多层代理,并且客户端可以通过伪造http请求信息x-forwarded-for来伪造IP,那么如何防止伪造IP呢?本文分别从有代理(Nginx)和没有代理两种情况分析如何获取客户端的真实IP。 1. 没有代理 单纯的web应用,没有做代理的情况下,...
nginx x-forward-for
zhaoyangjian724的专栏
11-21 494
node2:/etc/nginx#cat nginx.conf # Copyright (C) 2019 by chrono # you can run openresty on linux # sudo /usr/local/openresty/bin/openresty -p .. # sudo /usr/local/openresty/bin/openresty -p .. -s stop # sudo /usr/local/openresty/bin/openresty -p .. -s relo
Nginx-GUI-For-Windows-x64-v1.6.zip
12-06
nginx配置启动状态,系统状态可视化管理,降低配置难易程度,提供维护和可视化效果。
Nginx-GUI-For-Linux-X64-v1.6.zip
12-06
Nginx-GUI-For-Linux_X64_v1.6.zip
Nginx使用X-Sendfile提升PHP文件下载的性能(针对大文件下载)
09-30
主要介绍了在Nginx使用X-Sendfile提升PHP文件下载的性能,可以用在针对大文件下载的情况,下载非网站Web目录文件的需求,提供下载权限控制的场景,需要的朋友可以参考下
ingress-nginx-controller-1.9.yaml
10-18
三处image需要修改(若官方deplo.yaml的image可以拉取,则不需要改image),另两个文件是测试ingress规则是否生效的yaml。
Nginx HTTP 请求的 X-Forwarded-For
小楼一夜听春雨,深巷明朝卖杏花
07-20 1万+
背景 通过名字就知道,X-Forwarded-For 是一个 HTTP 扩展部。HTTP/1.1(RFC 2616)协议并没有对它的定义,它最开始是由 Squid 这个缓存代理软件引入,用来表示 HTTP 请求端真实 IP。如今它已经成为事实上的标准,被各大 HTTP 代理、负载均衡等转发服务广泛使用,并被写入 RFC 7239(Forwarded HTTP Extension)标准之。 X-Forwarded-For 请求格式非常简单,就这样: X-Forwarded-For: client
Nginx】proxy_set_header的变量与X-Forwarded-For伪造客户端IP漏洞
kevin的博客
07-14 1534
上面突然说,需要检查Nginx反向代理的安全问题并给出了修改方法,小白的我一脸懵逼,明明都是文,连在一起咋就看不明白了。于是乎,对着修改内容简单学习了一下,在此做个记录,如有问题请大佬们指点指点。
墨者学院-X-Forwarded-For注入漏洞实战
weixin_42939822的博客
03-27 6250
墨者学院-X-Forwarded-For注入漏洞实战
nginx-通过X-Forwarded-For获取客户端真实IP
qq522044637的博客
10-09 5911
通过X-Forwarded-For获取客户端真实IP
bugku ctf 管理员系统 (伪造x-forwarded-for绕过服务器IP)
qq_42777804的博客
05-18 4491
随便输入 发现 ip禁止访问 与本地管理员联系登陆 我们查看源码 到最后发现 <!-- dGVzdDEyMw== --> 在线base64解密得到 test123 Username: admin Password:test123 发现居然还是不能提交 那么burp抓包 发给 repeater 发现了可以通...
Nginx 获取客户端真实IP $remote_addr与X-Forwarded-For
小楼一夜听春雨,深巷明朝卖杏花
06-09 3万+
nginx配置 首先,一个请求肯定是可以分为请求和请求体的,而我们客户端的IP地址信息一般都是存储在请求里的。如果你的服务器有用Nginx做负载均衡的话,你需要在你的location里面配置X-Real-IP和X-Forwarded-For请求: location ^~ /your-service/ { proxy_set_header X-Real-IP $remote_addr; pro
RPKI资源公共密钥基础架构体系的搭建
最新发布
if_Echo_else的博客
05-14 512
一、安装二、目录说明三、管理命令。
nginx X-Forwarded-For
07-28
Nginx的X-Forwarded-For是一个HTTP请求,它用于指示原始客户端的IP地址。当请求通过代理服务器或负载均衡器时,X-Forwarded-For可以帮助服务器获取真实的客户端IP地址。 在Nginx配置,可以使用proxy_set_header指令来设置X-Forwarded-For。例如,可以使用以下配置将客户端的IP地址设置为X-Forwarded-For的值: ``` location / { proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_pass http://backend; } ``` 在这个例子,$proxy_add_x_forwarded_for变量将会包含原始客户端的IP地址,并将其设置为X-Forwarded-For的值。这样,后端服务器就可以通过读取X-Forwarded-For来获取真实的客户端IP地址。 需要注意的是,X-Forwarded-For的值可以被伪造,因此在使用该值进行身份验证或安全相关的操作时需要谨慎处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值