获取用户Ip地址通用方法常见安全隐患(HTTP_X_FORWARDED_FOR)

m635674608

浏览: 5043571 次
性别:
来自: 南京

最近访客更多访客>>

wusuosuo

yijiaomuqing

millerchu

xdung

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

php
搜索引擎，爬虫

分析过程

这个来自一些项目中，获取用户Ip，进行用户操作行为的记录，是常见并且经常使用的。一般朋友，都会看到如下通用获取IP地址方法。
```
function getIP() { 
	if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { 
		$realip = $_SERVER['HTTP_X_FORWARDED_FOR']; 
	} elseif (isset($_SERVER['HTTP_CLIENT_IP'])) { 
		$realip = $_SERVER['HTTP_CLIENT_IP']; 
	} else { 
		$realip = $_SERVER['REMOTE_ADDR']; 
		} 
		return $realip; 
	}
```
这个是网上常见获取，ip函数，用这些值获取IP,我们首先要弄清楚，这些数据是从那个地方传过来的。

IP获取来源

1.’REMOTE_ADDR’ 是远端IP，默认来自tcp 连接是，客户端的Ip。可以说，它最准确，确定是，只会得到直接连服务器客户端IP。如果对方通过代理服务器上网，就发现。获取到的是代理服务器IP了。

如：a->b(proxy)->c ,如果c 通过’REMOTE_ADDR’ ，只能获取到b的IP,获取不到a的IP了。

另外:该IP想篡改将很难实现，在传递知道生成php server值，都是直接生成的。

2.’HTTP_X_FORWARDED_FOR’，’HTTP_CLIENT_IP’ 为了能在大型网络中，获取到最原始用户IP，或者代理IP地址。对HTTp协议进行扩展。定义了实体头。

HTTP_X_FORWARDED_FOR = clientip,proxy1,proxy2 所有IP用”,”分割。 HTTP_CLIENT_IP 在高级匿名代理中，这个代表了代理服务器IP。既然是http协议扩展一个实体头，并且这个值对于传入端是信任的，信任传入方按照规则格式输入的。以下以x_forword_for例子加以说明，正常情况下，这个值变化过程。

<iframe id="iframe_0.27408246765844524" style="border-style: none; border-width: initial; width: 0px; height: 0px;" src="data:text/html;charset=utf8,%3Cimg%20id=%22img%22%20src=%22http://blog.chacuo.net/wp-content/uploads/2013/05/image_thumb18.png?_=3107264%22%20style=%22border:none;max-width:1120px%22%3E%3Cscript%3Ewindow.onload%20=%20function%20()%20%7Bvar%20img%20=%20document.getElementById('img');%20window.parent.postMessage(%7BiframeId:'iframe_0.27408246765844524',width:img.width,height:img.height%7D,%20'http://www.cnblogs.com');%7D%3C/script%3E" frameborder="0" scrolling="no"></iframe>

分析Bug风险点：

通过刚刚分析我们发现，其实这些变量，来自http请求的：x-forword-for字段，以及client-ip字段。正常代理服务器，当然会按rfc规范来传入这些值。但是，当一个用户直接构造该x-forword-for值，发送给用户用户，那将会怎么样呢？

<iframe id="iframe_0.7491897251456976" style="border-style: none; border-width: initial; width: 0px; height: 0px;" src="data:text/html;charset=utf8,%3Cimg%20id=%22img%22%20src=%22http://blog.chacuo.net/wp-content/uploads/2013/05/image_thumb19.png?_=3107264%22%20style=%22border:none;max-width:1120px%22%3E%3Cscript%3Ewindow.onload%20=%20function%20()%20%7Bvar%20img%20=%20document.getElementById('img');%20window.parent.postMessage(%7BiframeId:'iframe_0.7491897251456976',width:img.width,height:img.height%7D,%20'http://www.cnblogs.com');%7D%3C/script%3E" frameborder="0" scrolling="no"></iframe>图（1）

第2步，修改x-forword-fox值，我们看看结果

<iframe id="iframe_0.7191455590073019" style="border-style: none; border-width: initial; width: 0px; height: 0px;" src="data:text/html;charset=utf8,%3Cimg%20id=%22img%22%20src=%22http://blog.chacuo.net/wp-content/uploads/2013/05/image_thumb20.png?_=3107264%22%20style=%22border:none;max-width:1120px%22%3E%3Cscript%3Ewindow.onload%20=%20function%20()%20%7Bvar%20img%20=%20document.getElementById('img');%20window.parent.postMessage(%7BiframeId:'iframe_0.7191455590073019',width:img.width,height:img.height%7D,%20'http://www.cnblogs.com');%7D%3C/script%3E" frameborder="0" scrolling="no"></iframe>

第三步，我们再修改下看看会怎么样？

<iframe id="iframe_0.14649995788931847" style="border-style: none; border-width: initial; width: 0px; height: 0px;" src="data:text/html;charset=utf8,%3Cimg%20id=%22img%22%20src=%22http://blog.chacuo.net/wp-content/uploads/2013/05/image_thumb21.png?_=3107264%22%20style=%22border:none;max-width:1120px%22%3E%3Cscript%3Ewindow.onload%20=%20function%20()%20%7Bvar%20img%20=%20document.getElementById('img');%20window.parent.postMessage(%7BiframeId:'iframe_0.14649995788931847',width:img.width,height:img.height%7D,%20'http://www.cnblogs.com');%7D%3C/script%3E" frameborder="0" scrolling="no"></iframe>

哈哈，看到上面结果没，x-forwarded-for不光可以自己设置值，而且可以设置任意格式值。这样一来，好比就直接有一个可以写入任意值的字段。并且服务器直接读取，或者写入数据库，或者做显示。它将带来危险性，跟一般对入输入没有做任何过滤检测，之间操作数据源结果一样。并且容易带来隐蔽性。

结论：

上面getip函数，除了客户端可以任意伪造IP，并且可以传入任意格式IP。这样结果会带来2大问题，其一，如果你设置某个页面，做IP限制。对方可以容易修改IP不断请求该页面。其二，这类数据你如果直接使用，将带来SQL注册，跨站攻击等漏洞。至于其一，可以在业务上面做限制，最好不采用IP限制。对于其二，这类可以带来巨大网络风险。我们必须加以纠正。

需要对getip 进行修改，得到安全的getip函数。

这类问题，其实很容易出现，以前我就利用这个骗取了大量伪装投票。有它的隐蔽性，其实只要我们搞清楚了，某些值来龙去脉的话。理解了它的原理，修复该类bug将是非常容易。

题外话，做技术，有三步，先要会做，会解决；后要思考为什么要这么做，原因原理是什么；最后是怎么样做，有没有其它方法。多问问自己，你发现距离技术真理越来越近。你做事会越来越得心应手的！

http://www.cnblogs.com/chengmo/archive/2013/05/29/php.html

分享到：

rocketmq rest 控制台 | 伪造 X-Forwarded-For

2016-12-01 10:50
浏览 893
评论(0)
分类:编程语言
查看更多

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

获取用户Ip地址通用方法常见安全隐患(HTTP_X_FORWARDED_FOR)

分析过程

IP获取来源

分析Bug风险点：

结论：

评论

发表评论

相关推荐

最近访客 更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

获取用户Ip地址通用方法常见安全隐患(HTTP_X_FORWARDED_FOR)

分析过程

IP获取来源

分析Bug风险点：

结论：

评论

发表评论

相关推荐

ElasticSearch Groovy脚本远程代码执行漏洞分析（CVE-2015-1427） （附exp）

postman进行http接口测试

selenium 使用经验总结

selenium chrome 浏览器闪退

selenium 浏览器版本

geckodriver 关闭日志

selenium与firefox版本不兼容

解决Selenium与firefox浏览器版本不兼容问题

剖析Elasticsearch集群系列之二：分布式的三个C、translog和Lucene段

分布式搜索elasticsearch 搜索结果排序不一致性问题

多个ElasticSearch Cluster的一致性问题

WEB渗透测试之三大漏扫神器

淘宝 OAuth2.0 的登录验证与授权

Jsoup中getElementsByClass中className有空格处理

HttpClient4 Post XML到一个服务器上

Android安装Fiddler证书抓取App的HTTPS流量

使用Charles进行https抓包

如何使用charles对Android Https进行抓包

Selenium WebDriver 中鼠标事件

获取真实IP的方法，以及伪造IP的例子代码

最近访客更多访客>>

ElasticSearch Groovy脚本远程代码执行漏洞分析（CVE-2015-1427）（附exp）