最近在玩CTF的时候遇到了跟这个函数相关的几道题,我感觉这是一个非常有趣的参数,他能透过代理IP取到真实用户的地址。对HTTp协议进行扩展。定义了一个叫做X Forwarded For的实体头 X Forwarded For也就是常说的XFF头,因为XFF头是客户端的,所以我们能控制XFF头部分,可以用来 伪造IP 我之前写过一个随机请求头爆破用户名的脚本,就用到了XFF头伪造IP。 当然使用BU ...
2017-06-29 10:26 1 1755 推荐指数:
REMOTE_ADDR 是你的客户端跟你的服务器“握手”时候的IP。如果使用了“匿名代理”,REMOTE_ADDR将显示代理服务器的IP。 HTTP_CLIENT_IP 是代理服务器发送的HTTP头。如果是“超级匿名代理”,则返回none值。同样,REMOTE_ADDR也会被替换为这个代理服务器 ...
在装好nginx后,默认的配置文件中日志格式如下 访问日志如下 可以看到日志显示到用户客户端版本后截止,并没有打印出$http_x_forwarded_for信息 原因分析: 个人认为$http_x_forwarded_for 设计初衷为代理透传客户端源IP ...
分析过程 这个来自一些项目中,获取用户Ip,进行用户操作行为的记录,是常见并且经常使用的。 一般朋友,都会看到如下通用获取IP地址方法。 这个是网上常见获取,ip函数,用这些值获取IP,我们首先要弄清楚,这些数据是从那个地方传过来的。 IP获取 ...
分析有个不对头的地方:http://wooyun.jozxing.cc/static/bugs/wooyun-2014-080211.html 后面再补 这个漏洞比较简单。 我们看到配置文件来。/include/common.inc.php 第86-94行 ...
1.Nginx 作为服务器时,获取客户端真实 IP 使用 http_realip_module,默认安装的 Nginx 是没有安装这个模块的,需要重新编译 Nginx 增加 --with-http_realip_module。 2.修改 nginx.conf ...
分析过程 这个来自一些项目中,获取用户Ip,进行用户操作行为的记录,是常见并且经常使用的。 一般朋友,都会看到如下通用获取IP地址方法。 这个是网上常见获取,ip函数,用这些值获取IP,我们首先要弄清楚,这些数据是从那个地方传过来的。 IP获取 ...
通过上一篇,获取用户Ip地址通用方法常见安全隐患(HTTP_X_FORWARDED_FOR) ,我们已经意 识到直接从http_x_forwarded_for中读取用户IP,跟我们直接从一个get,post值中读取其实没有两样。web参数检测里面一个基本原则:“一切输入都是有害 ...
nginx location 配置 location ~* /admin/login { #set $my_ip ''; #if ( $http_x_forwarded_for !=client ip){set $my_ip 1;} #if ( $http_x_forwarded_for ...
