讓我們看一段 ASP 代碼先:
|
這段代碼的功能是得到客戶端真實IP,也就是當客戶端使用了透明HTTP代理的時候取得真正的客戶端IP;匿名代理返回代理IP;無代理返回客戶端IP。
想一下,為什么該代碼能夠從透明代理那里得到真實的IP呢?莫非透明代理服務(wù)器會發(fā)送我們的真IP?本地搭建一個透明代理,抓包分析之:
|
哈哈,原來我們的真正IP被服務(wù)器發(fā)送出去了。那么,如果我們修改X-Forwarded-For的值再提交的話……嘿嘿,這樣就可以偽造任意的“真實”IP啦。
偽造了“真實”IP,可以做很多事情,最簡單就是以任意IP發(fā)表評論,要是管理員看到一個123.456.789.000的IP一定會被你郁悶到的。
更高級點,應(yīng)該可以實現(xiàn)突破IP限制、跨站和SQL注射,當然需要結(jié)合具體的程序代碼來看了。
熱詞搜索:
上一篇:多種方法防范非法用戶侵入
下一篇:Exeroute木馬清除方法
收藏
Copyright © 2009-2022 網(wǎng)絡(luò)安全和運維網(wǎng) All rights reserved. 京ICP備10047140號 京公安網(wǎng)備11010802014307
掃碼關(guān)注微信
