获取用户Ip地址通用方法与常见安全隐患(HTTP_X_FORWARDED

首頁

php教程

php手册

获取用户Ip地址通用方法与常见安全隐患(HTTP_X_FORWARDED_FOR)

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 13, 2016 am 11:52 AM

forhttp與分析地址安全常見方法使用者獲取過程這個一般

分析过程
这个来自一些项目中，获取用户Ip，进行用户操作行为的记录，是常见并且经常使用的。一般朋友，都会看到如下通用获取IP地址方法。

复制代码代码如下:

这个是网上常见获取，ip函数，用这些值获取IP,我们首先要弄清楚，这些数据是从那个地方传过来的。

IP获取来源

1.'REMOTE_ADDR' 是远端IP，默认来自tcp 连接是，客户端的Ip。可以说，它最准确，确定是，只会得到直接连服务器客户端IP。如果对方通过代理服务器上网，就发现。获取到的是代理服务器IP了。

如：a->b(proxy)->c ,如果c 通过'REMOTE_ADDR' ，只能获取到b的IP,获取不到a的IP了。

另外:该IP想篡改将很难实现，在传递知道生成php server值，都是直接生成的。

2.'HTTP_X_FORWARDED_FOR'，'HTTP_CLIENT_IP' 为了能在大型网络中，获取到最原始用户IP，或者代理IP地址。对HTTp协议进行扩展。定义了实体头。

HTTP_X_FORWARDED_FOR = clientip,proxy1,proxy2 所有IP用”,”分割。 HTTP_CLIENT_IP 在高级匿名代理中，这个代表了代理服务器IP。既然是http协议扩展一个实体头，并且这个值对于传入端是信任的，信任传入方按照规则格式输入的。以下以x_forword_for例子加以说明，正常情况下，这个值变化过程。

分析Bug风险点：

通过刚刚分析我们发现，其实这些变量，来自http请求的：x-forword-for字段，以及client-ip字段。正常代理服务器，当然会按rfc规范来传入这些值。但是，当一个用户直接构造该x-forword-for值，发送给用户用户，那将会怎么样呢？

图（1）

第2步，修改x-forword-fox值，我们看看结果

第三步，我们再修改下看看会怎么样？

哈哈，看到上面结果没，x-forwarded-for不光可以自己设置值，而且可以设置任意格式值。这样一来，好比就直接有一个可以写入任意值的字段。并且服务器直接读取，或者写入数据库，或者做显示。它将带来危险性，跟一般对入输入没有做任何过滤检测，之间操作数据源结果一样。并且容易带来隐蔽性。

结论：

上面getip函数，除了客户端可以任意伪造IP，并且可以传入任意格式IP。这样结果会带来2大问题，其一，如果你设置某个页面，做IP限制。对方可以容易修改IP不断请求该页面。其二，这类数据你如果直接使用，将带来SQL注册，跨站攻击等漏洞。至于其一，可以在业务上面做限制，最好不采用IP限制。对于其二，这类可以带来巨大网络风险。我们必须加以纠正。

需要对getip 进行修改，得到安全的getip函数。

这类问题，其实很容易出现，以前我就利用这个骗取了大量伪装投票。有它的隐蔽性，其实只要我们搞清楚了，某些值来龙去脉的话。理解了它的原理，修复该类bug将是非常容易。

题外话，做技术，有三步，先要会做，会解决；后要思考为什么要这么做，原因原理是什么；最后是怎么样做，有没有其它方法。多问问自己，你发现距离技术真理越来越近。你做事会越来越得心应手的！

作者：chengmo QQ:8292669

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

如何在Python中获取文件扩展名？Sep 08, 2023 pm 01:53 PM

Python中的文件扩展名是附加在文件名末尾的后缀，用于表示文件的格式或类型。它通常由三个或四个字符组成，文件名后跟一个句点，例如“.txt”或“.py”。操作系统和程序利用文件扩展名来确定文件的类型以及应如何处理它。被识别为纯文本文件。Python中的文件扩展名在读取或写入文件时至关重要，因为它建立了文件格式以及读取和写入数据的最佳方法。例如，“.csv”文件扩展名是读取CSV文件时使用的扩展名，而csv模块则用于处理该文件。Python中获取文件扩展名的算法在Python中操作文件名字符串来

使用math.Max函数获取一组数中的最大值Jul 24, 2023 pm 01:24 PM

使用math.Max函数获取一组数中的最大值在数学和编程中，经常需要找出一组数中的最大值。在Go语言中，我们可以使用math包中的Max函数来实现这个功能。本文将介绍如何使用math.Max函数来获取一组数中的最大值，并提供相应的代码示例。首先，我们需要导入math包。在Go语言中，导入包可以使用import关键字，如下所示：import"mat

如何在Java中获取LinkedHashSet的最后一个元素？Aug 27, 2023 pm 08:45 PM

从Java中的LinkedHashSet中检索最后一个元素意味着检索其集合中的最后一个元素。尽管Java没有内置方法来帮助检索LinkedHashSets中的最后一个项，但存在多种有效的技术，可以提供灵活性和便利性，有效地检索此最后一个元素而不破坏插入顺序-这是Java开发人员必须在其应用程序中有效处理的问题。通过将这些策略有效地应用于他们的软件项目中，他们可以实现满足此要求的最佳解决方案LinkedHashSetLinkedHashSet是Java中的一种高效数据结构，它结合了HashSet和

Java程序获取给定文件的大小（以字节、千字节和兆字节为单位）Sep 06, 2023 am 10:13 AM

文件的大小是特定文件在特定存储设备（例如硬盘驱动器）上占用的存储空间量。文件的大小以字节为单位来衡量。在本节中，我们将讨论如何实现一个java程序来获取给定文件的大小（以字节、千字节和兆字节为单位）。字节是数字信息的最小单位。一个字节等于八位。1千字节(KB)=1,024字节1兆字节(MB)=1,024KB千兆字节(GB)=1,024MB和1太字节(TB)=1,024GB。文件的大小通常取决于文件的类型及其包含的数据量。以文本文档为例，文件的大小可能只有几千字节，而高分辨率图像或视频文件的大小可

简易JavaScript教程：获取HTTP状态码的方法Jan 05, 2024 pm 06:08 PM

JavaScript教程：如何获取HTTP状态码，需要具体代码示例前言：在Web开发中，经常会涉及到与服务器进行数据交互的场景。在与服务器进行通信时，我们经常需要获取返回的HTTP状态码来判断操作是否成功，根据不同的状态码来进行相应的处理。本篇文章将教你如何使用JavaScript获取HTTP状态码，并提供一些实用的代码示例。使用XMLHttpRequest

即刻获取最新更新：修复缺少最新更新问题Nov 08, 2023 pm 02:25 PM

如果“最新更新可用后立即获取最新更新”选项缺失或灰显，则你可能正在运行开发人员频道Windows11版本，这是正常的。对于其他人，安装KB5026446（22621.1778）更新后会出现问题。您可以采取以下措施来取回“在最新更新可用时立即获取更新”选项。如何取回“在最新更新可用时立即获取更新”选项？在开始以下任何解决方案之前，请确保检查最新的Windows11更新并安装它们。1.使用ViVeTool转到“Microsoft更新目录”页面并查找KB5026446更新。在您的PC上下载并重新安装更

获取给定复数的虚部的C++程序Sep 06, 2023 pm 06:05 PM

现代科学在很大程度上依赖于复数的概念，这一概念最初是通过GirolamoCardano在16世纪引入的在17世纪初建立。复数的公式是a+ib，其中a保留html代码并且b是实数。一个复数被认为有两个部分：实部<a>和虚部(<ib>)。i或iota的值为√-1。C++中的复数类是一个用于表示复数的类。C++中的complex类可以表示并控制几个复数操作。我们来看一下如何表示和控制显示复数。imag()成员函数如前所述，复数由实部和虚部两部分组成。显示实部我们使用real()

快速获取屏幕高度的jQuery技巧Feb 24, 2024 pm 06:30 PM

jQuery技巧：快速获取屏幕高度的实现方式在网页开发中，经常会遇到需要获取屏幕高度的情况，比如实现响应式布局、动态计算元素尺寸等。而使用jQuery可以很便捷地实现获取屏幕高度的功能。下面就来介绍一些使用jQuery快速获取屏幕高度的实现方式，并附上具体的代码示例。方法一：使用jQuery的height()方法获取屏幕高度通过使用jQuery的height

See all articles