码迷,mamicode.com
首页 > 其他好文 > 详细

X-Forwarded-For伪造及防御

时间:2018-03-21 22:02:44      阅读:629      评论:0      收藏:0      [点我收藏+]

标签:burpsuit   应用   策略   伪造   自己   class   自己的   down   res   

使用x-Forward_for插件或者burpsuit可以改包,伪造任意的IP地址,使一些管理员后台绕过对IP地址限制的访问。

防护策略:
1.对于直接使用的 Web 应用,必须使用从TCP连接中得到的 Remote Address,才是用户真实的IP;
2.对于使用 nginx 反向代理服务器的Web应用,nginx必须使用Remote Address正确配置set Headers,后端服务器则使用nginx传过来的相应IP地址作为用户真实IP;同时,后端服务器应使用X-Real-IP 或 X-Forwarded-For最后1段IP作为限制,允许自己的nginx服务器访问,禁止其它IP访问,禁止对外提供服务

X-Forwarded-For伪造及防御

标签:burpsuit   应用   策略   伪造   自己   class   自己的   down   res   

原文地址:https://www.cnblogs.com/drkang/p/8619810.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!