這篇文章主要介紹php偽造來源HTTP_REFERER的技巧,有興趣的朋友參考下,希望對大家有幫助。
本文實例講述了PHP偽造來源HTTP_REFERER的方法,具體分析如下:
如今網路上十分流行論壇自動發文機,自動頂貼機等,給眾多論壇網站帶來了大量的垃圾訊息,許多網站只是簡單地採用了判斷HTTP_REFERER的值來進行過濾機器發帖,可是網頁的HTTP_REFERER來路資訊是可以被偽造的。任何事物都是雙面刃,只要你善於利用就有其存在價值。
很早以前,下載軟體如Flashget,迅雷等都可以偽造來路資訊了,而這些軟體的偽造HTTP_REFERER大多是基於底層的sock來構造虛假的http頭資訊來達到目的。本文就純粹從技術角度討論一下,php語言下的偽造HTTP_REFERER的方法,以期讓大家了解過程,更好的防禦。
環境:Apache/2.2.8 PHP/5.2.5 Windows XP系統,本機測試。
首先,在網站虛擬根目錄下建立1.php和2.php兩個檔案。
其中,1.php檔案內容如下:
<?php $host = '127.0.0.1'; $target = '/2.php'; $referer = 'http://www.PHP.cn'; //伪造HTTP_REFERER地址 $fp = fsockopen($host, 80, $errno, $errstr, 30); if (!$fp){ echo "$errstr($errno)<br />\n"; } else{ $out = " GET $target HTTP/1.1 Host: $host Referer: $referer Connection: Close\r\n\r\n"; fwrite($fp, $out); while (!feof($fp)){ echo fgets($fp, 1024); } fclose($fp); } ?>
另一個2.php檔案很簡單,只是寫上一行讀取目前的HTTP_REFERER伺服器值的程式碼即可,如下:
<?php echo "<hr />"; echo $_SERVER["HTTP_REFERER"]; ?>
執行1.php文件,開啟http://localhost/1.php,頁面回傳資訊如下:
HTTP/1.1 200 OK Date: Fri, 04 Apr 2008 16:07: 54 GMT Server: Apache/2.2.8 (Win32) PHP/5.2.5 X-Powered-By: PHP/5.2.5 Content-Length: 27 Connection: close Content-Type: text/html; charset=gb2312
看到了結果了吧,偽造來源HTTP_REFERER資訊成功。所以,如果你的網站只是判斷HTTP_REFERER,並不是安全的,別人一樣可以建構這樣的來源,簡單的防禦方法就是驗證頁裡加上驗證碼;還可以結合IP判斷的方法。
補充:ASP下的偽造來源的程式碼如下:
<% dim http set http=server.createobject("MSXML2.XMLHTTP") '//MSXML2.serverXMLHTTP也可以 Http.open "GET",url,false Http.setRequestHeader "Referer","http://www.jb51.net/" Http.send() %>
如果你是一個有心人,請不要惡意利用這些方法,畢竟壞事做多了的話,效果就過猶不及了;比如你發大量的垃圾帖子吧,可能短期內會給你帶來大量的外部鏈接,但這樣的黑帽手段遲早要被搜索引擎發現,而這些已經發出去的鏈接就好像潑出去的水一樣收不回來,這樣的罪證就不是你能控制的了。
總結:以上就是這篇文章的全部內容,希望能對大家的學習有所幫助。
相關推薦:
以上是php偽造來源HTTP_REFERER的技巧的詳細內容。更多資訊請關注PHP中文網其他相關文章!