标签:style blog http color 使用 ar for 数据 2014
1.我们都知道当你浏览网站的时候,对方的服务器会记录下你的IP地址。如果我们伪造IP为XSS代码呢?这里说的修改IP为XSS不是说修改PC端的,而是在浏览器也就是网页上的客户端进行修改。
2.需要
FireFox浏览器一个
FireFox附件X-Forwarded-For Header一个
因为PHP获取IP有3个函数。而X-Forwarded-For Header就是对其中一个函数X_FORWARDED_FOR起作用,X_FORWARDED_FOR有个缺陷可以使客户端伪造任意IP,当然包括字符串,但是对其他两个函数就不行了。
FireFox附件Modify Headers一个
Modify Headers可以伪造数据包内容,当然也可以伪造HTTP_CLIENT_IP来更改IP。
那还有一个REMOTE_ADDR获取IP函数,这个怎么修改呢?答案是无法修改。
REMOTE_ADDR是由 nginx 传递给 php 的参数,所以就是当 前 nginx 直接通信的客户端的 IP ,而我们无法插手。所以一旦对方使用了REMOTE_ADDR函数来获取IP,那就没办法了。不过不要紧,一 共3个函数,2个函数可以伪造,我们还是有很大的成功率的。好了,开始伪造。
3.看操作
操作一:
操作二:
操作三 : 访问http://www.ip138.com/
结果
参考: http://www.freebuf.com/articles/web/42727.html
标签:style blog http color 使用 ar for 数据 2014
原文地址:http://www.cnblogs.com/sxmcACM/p/3963184.html
