码迷,mamicode.com
首页 > 其他好文 > 详细

XSS内容拓展--伪造你的IP

时间:2014-09-09 19:52:49      阅读:228      评论:0      收藏:0      [点我收藏+]

标签:style   blog   http   color   使用   ar   for   数据   2014   

1.我们都知道当你浏览网站的时候,对方的服务器会记录下你的IP地址。如果我们伪造IP为XSS代码呢?这里说的修改IP为XSS不是说修改PC端的,而是在浏览器也就是网页上的客户端进行修改。

2.需要

FireFox浏览器一个

FireFox附件X-Forwarded-For Header一个

因为PHP获取IP有3个函数。而X-Forwarded-For Header就是对其中一个函数X_FORWARDED_FOR起作用,X_FORWARDED_FOR有个缺陷可以使客户端伪造任意IP,当然包括字符串,但是对其他两个函数就不行了。

FireFox附件Modify Headers一个

Modify Headers可以伪造数据包内容,当然也可以伪造HTTP_CLIENT_IP来更改IP。

那还有一个REMOTE_ADDR获取IP函数,这个怎么修改呢?答案是无法修改。

REMOTE_ADDR是由 nginx 传递给 php 的参数,所以就是当 前 nginx 直接通信的客户端的 IP ,而我们无法插手。所以一旦对方使用了REMOTE_ADDR函数来获取IP,那就没办法了。不过不要紧,一 共3个函数,2个函数可以伪造,我们还是有很大的成功率的。好了,开始伪造。

3.看操作

操作一: 

bubuko.com,布布扣

操作二:

bubuko.com,布布扣

 

 

操作三 : 访问http://www.ip138.com/ 

结果

bubuko.com,布布扣

 

参考: http://www.freebuf.com/articles/web/42727.html

 

XSS内容拓展--伪造你的IP

标签:style   blog   http   color   使用   ar   for   数据   2014   

原文地址:http://www.cnblogs.com/sxmcACM/p/3963184.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!