1、client的ip是通過http的頭部傳送到server端的
比方,在開啟**www.baidu.com的時候。通過firebug能夠看到請求頭部,頭部裡包括client的資訊,比方cookie等。
一般後台獲取的clientip的**為:
}**片段即是獲取clientip,這段程式會嘗試檢查 http_client_ip, http_x_forwarded_for, 依據之前的原理說明,以 http_開頭的 header, 均屬於client傳送的內容。那麼,假設client偽造 client-ip, x-forward-for,不就能夠欺騙此程式,達到「偽造 ip」之目的?
偽造這項值?假設你會敲**。並了解http協議,直接偽造請求 header 就可以。
或者使用 firefox的 moify headers外掛程式就可以。
2、modify headers偽造ip
安裝modify headers後,加入乙個x-forwarded-for,並填入乙個ip,置為可用後,開啟對應網頁,server就會獲取到該偽造ip。
3、站點怎樣防護ip偽造
既然能夠通過ip偽造,站點怎樣過濾這些偽造的ip? 一般做法是在應用server上強制將x-forwarded-for的值設定為client真實ip,詳細操作請自行研究。
網路中存在此漏洞的站點非常多,尤其是一些投票類的站點。通過限制ip(乙個ip僅僅能投一次票,或者乙個ip僅僅能在一定的時間段投一次票)來限制重複投票的站點。
別人可能會利用此漏洞來偽造ip。突破這樣的限制。所以站點開發人員要重視這類安全。
本文部分內容參考了部落格構造
http請求 header 實現「偽造** ip」 ,
網路安全之IP位址詳解
簡單區域網的構成 交換機 網線 計算機裝置交換機 用於組建內網,是一種意為 開關 用於電 光 訊號 的網路裝置。它可以為接入交換機的任意兩個網路節點提供獨享的電訊號通路。最常見的交換機是乙太網交換機。我們常見的ip位址是 它是以十進位制的數表示的,x的範圍是0 255。那麼計算機裝置是如何利用ip位...
網路安全之XSS CSRF
原理 向 注入惡意指令碼 攻擊型別 防範措施 原理利用 對使用者的信任,黑客通過 b 誘導使用者去訪問已經登入的 a,進行一些違背使用者意願的請求。注意 在這個攻擊過程中,攻擊者借助受害者的 cookie 騙取伺服器的信任,但並不能拿到cookie,也看不到 cookie 的內容。防範措施 可以在 ...
網路安全之html
1.html表示超文字標記語言 hyper text markup language 2.標籤解釋 這個標籤是告訴瀏覽器這是html 的開始,這個是文件的終止 這個標籤是頭資訊,在瀏覽器視窗中,頭的資訊是不被顯示的 是文件的標題,被顯示在瀏覽器視窗的標題欄 這個標籤之間是正文,會被顯示在瀏覽器中 這...