使用x-Forward_for插件或者burpsuit可以改包,偽造任意的IP地址,使一些管理員后台繞過對IP地址限制的訪問。
防護策略:
1.對於直接使用的 Web 應用,必須使用從TCP連接中得到的 Remote Address,才是用戶真實的IP;
2.對於使用 nginx 反向代理服務器的Web應用,nginx必須使用Remote Address正確配置set Headers,后端服務器則使用nginx傳過來的相應IP地址作為用戶真實IP;同時,后端服務器應使用X-Real-IP 或 X-Forwarded-For最后1段IP作為限制,允許自己的nginx服務器訪問,禁止其它IP訪問,禁止對外提供服務
構造 HTTP請求 Header 實現“偽造來源 IP ”
一般情況下確實是取$_SERVER['REMOTE_ADDR']就行了
上網找PHP獲取真實IP會有許多不同版本的代碼版本,有優先獲取HTTP_CLIENT_IP的也有優先獲取HTTP_X_FORWARDED_FOR的
其實我自己也不知道哪個才是對的,但這里大家都有一個共識:HTTP_CLIENT_IP和HTTP_X_FORWARDED_FOR都可以被偽造,