General method of obtaining user IP address and common security risks (HTTP_X_FORWARDED_FOR)

Home

Backend Development

PHP Tutorial

General method of obtaining user IP address and common security risks (HTTP_X_FORWARDED_FOR)_PHP tutorial

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jul 21, 2016 pm 03:10 PM

forhttpandanalyzeaddressSafetycommonmethoduserObtainprocessthisUniversal

Analysis process
This comes from some projects. It is common and frequently used to obtain user IP and record user operation behavior. Most friends will see the following general method of obtaining an IP address.

Copy code The code is as follows:

 
function getIP() { 
if (isset($_SERVER[ 'HTTP_X_FORWARDED_FOR'])) { 
$realip = $_SERVER['HTTP_X_FORWARDED_FOR']; 
} elseif (isset($_SERVER['HTTP_CLIENT_IP'])) { 
$realip = $_SERVER['HTTP_CLIENT_IP ']; 
} else { 
$realip = $_SERVER['REMOTE_ADDR']; 
} 
return $realip; 
} 

这个是网上常见获取，ip函数，用这些值获取IP,我们首先要弄清楚，这些数据是从那个地方传过来的。

IP获取来源

1.'REMOTE_ADDR' 是远端IP，默认来自tcp 连接是，客户端的Ip。可以说，它最准确，确定是，只会得到直接连服务器客户端IP。如果对方通过代理服务器上网，就发现。获取到的是代理服务器IP了。

如：a->b(proxy)->c ,如果c 通过'REMOTE_ADDR' ，只能获取到b的IP,获取不到a的IP了。

另外:该IP想篡改将很难实现，在传递知道生成php server值，都是直接生成的。

2.'HTTP_X_FORWARDED_FOR'，'HTTP_CLIENT_IP' 为了能在大型网络中，获取到最原始用户IP，或者代理IP地址。对HTTp协议进行扩展。定义了实体头。

HTTP_X_FORWARDED_FOR = clientip,proxy1,proxy2 所有IP用”,”分割。 HTTP_CLIENT_IP 在高级匿名代理中，这个代表了代理服务器IP。既然是http协议扩展一个实体头，并且这个值对于传入端是信任的，信任传入方按照规则格式输入的。以下以x_forword_for例子加以说明，正常情况下，这个值变化过程。

分析Bug风险点：

通过刚刚分析我们发现，其实这些变量，来自http请求的：x-forword-for字段，以及client-ip字段。正常代理服务器，当然会按rfc规范来传入这些值。但是，当一个用户直接构造该x-forword-for值，发送给用户用户，那将会怎么样呢？

图（1）

第2步，修改x-forword-fox值，我们看看结果

第三步，我们再修改下看看会怎么样？

Haha, did you see the above result? x-forwarded-for can not only set the value by itself, but also can set the value in any format. In this way, it is like having a field that can write any value. And the server directly reads, or writes to the database, or displays. It will bring danger, just like operating the data source without any filtering and testing on the input. And it is easy to bring concealment.

Conclusion:

The above getip function, except that the client can forge IP at will, and can pass in IP in any format. This will cause two major problems. First, if you set up a certain page and impose IP restrictions. The other party can easily change the IP and continuously request the page. Secondly, if you use this kind of data directly, it will bring vulnerabilities such as SQL registration and cross-site attacks. As for the first one, you can set restrictions on the business, and it is best not to use IP restrictions. For the second one, this type can bring huge cyber risks. We must correct it.

Getip needs to be modified to obtain a safe getip function.

Such problems are actually very easy to occur. I have used this to defraud a large number of fake votes in the past. It has its hiddenness. In fact, as long as we understand the ins and outs of certain values. Once you understand how it works, it will be very easy to fix this type of bug.

Off topic, there are three steps to do technology. First, you must be able to do it and solve it; secondly, you must think about why you want to do it, what are the reasons and principles; finally, how to do it, and are there any other methods? Ask yourself more and you will find that you are getting closer to the technical truth. You will become more and more comfortable in doing things!

Author: chengmo QQ:8292669

Statement

The content of this article is voluntarily contributed by netizens, and the copyright belongs to the original author. This site does not assume corresponding legal responsibility. If you find any content suspected of plagiarism or infringement, please contact admin@php.cn

如何在Python中获取文件扩展名？Sep 08, 2023 pm 01:53 PM

Python中的文件扩展名是附加在文件名末尾的后缀，用于表示文件的格式或类型。它通常由三个或四个字符组成，文件名后跟一个句点，例如“.txt”或“.py”。操作系统和程序利用文件扩展名来确定文件的类型以及应如何处理它。被识别为纯文本文件。Python中的文件扩展名在读取或写入文件时至关重要，因为它建立了文件格式以及读取和写入数据的最佳方法。例如，“.csv”文件扩展名是读取CSV文件时使用的扩展名，而csv模块则用于处理该文件。Python中获取文件扩展名的算法在Python中操作文件名字符串来

使用math.Max函数获取一组数中的最大值Jul 24, 2023 pm 01:24 PM

使用math.Max函数获取一组数中的最大值在数学和编程中，经常需要找出一组数中的最大值。在Go语言中，我们可以使用math包中的Max函数来实现这个功能。本文将介绍如何使用math.Max函数来获取一组数中的最大值，并提供相应的代码示例。首先，我们需要导入math包。在Go语言中，导入包可以使用import关键字，如下所示：import"mat

如何在Java中获取LinkedHashSet的最后一个元素？Aug 27, 2023 pm 08:45 PM

从Java中的LinkedHashSet中检索最后一个元素意味着检索其集合中的最后一个元素。尽管Java没有内置方法来帮助检索LinkedHashSets中的最后一个项，但存在多种有效的技术，可以提供灵活性和便利性，有效地检索此最后一个元素而不破坏插入顺序-这是Java开发人员必须在其应用程序中有效处理的问题。通过将这些策略有效地应用于他们的软件项目中，他们可以实现满足此要求的最佳解决方案LinkedHashSetLinkedHashSet是Java中的一种高效数据结构，它结合了HashSet和

Java程序获取给定文件的大小（以字节、千字节和兆字节为单位）Sep 06, 2023 am 10:13 AM

文件的大小是特定文件在特定存储设备（例如硬盘驱动器）上占用的存储空间量。文件的大小以字节为单位来衡量。在本节中，我们将讨论如何实现一个java程序来获取给定文件的大小（以字节、千字节和兆字节为单位）。字节是数字信息的最小单位。一个字节等于八位。1千字节(KB)=1,024字节1兆字节(MB)=1,024KB千兆字节(GB)=1,024MB和1太字节(TB)=1,024GB。文件的大小通常取决于文件的类型及其包含的数据量。以文本文档为例，文件的大小可能只有几千字节，而高分辨率图像或视频文件的大小可

简易JavaScript教程：获取HTTP状态码的方法Jan 05, 2024 pm 06:08 PM

JavaScript教程：如何获取HTTP状态码，需要具体代码示例前言：在Web开发中，经常会涉及到与服务器进行数据交互的场景。在与服务器进行通信时，我们经常需要获取返回的HTTP状态码来判断操作是否成功，根据不同的状态码来进行相应的处理。本篇文章将教你如何使用JavaScript获取HTTP状态码，并提供一些实用的代码示例。使用XMLHttpRequest

即刻获取最新更新：修复缺少最新更新问题Nov 08, 2023 pm 02:25 PM

如果“最新更新可用后立即获取最新更新”选项缺失或灰显，则你可能正在运行开发人员频道Windows11版本，这是正常的。对于其他人，安装KB5026446（22621.1778）更新后会出现问题。您可以采取以下措施来取回“在最新更新可用时立即获取更新”选项。如何取回“在最新更新可用时立即获取更新”选项？在开始以下任何解决方案之前，请确保检查最新的Windows11更新并安装它们。1.使用ViVeTool转到“Microsoft更新目录”页面并查找KB5026446更新。在您的PC上下载并重新安装更

获取给定复数的虚部的C++程序Sep 06, 2023 pm 06:05 PM

现代科学在很大程度上依赖于复数的概念，这一概念最初是通过GirolamoCardano在16世纪引入的在17世纪初建立。复数的公式是a+ib，其中a保留html代码并且b是实数。一个复数被认为有两个部分：实部<a>和虚部(<ib>)。i或iota的值为√-1。C++中的复数类是一个用于表示复数的类。C++中的complex类可以表示并控制几个复数操作。我们来看一下如何表示和控制显示复数。imag()成员函数如前所述，复数由实部和虚部两部分组成。显示实部我们使用real()

快速获取屏幕高度的jQuery技巧Feb 24, 2024 pm 06:30 PM

jQuery技巧：快速获取屏幕高度的实现方式在网页开发中，经常会遇到需要获取屏幕高度的情况，比如实现响应式布局、动态计算元素尺寸等。而使用jQuery可以很便捷地实现获取屏幕高度的功能。下面就来介绍一些使用jQuery快速获取屏幕高度的实现方式，并附上具体的代码示例。方法一：使用jQuery的height()方法获取屏幕高度通过使用jQuery的height

See all articles