我们是不是不能真正做到网站web服务器端限制用户ip?
高洛峰
高洛峰 2016-10-27 15:49:46
[PHP讨论组]

刚才问了个nginx转发upstream改变转发来源ip的问题,既然访问请求来源的ip可以被随意改变,那么我们在web服务端获得的ip也就是不能完全相信的了,那么我们应该什么方式来限制用户真实ip,还是确实这条路不可行?

高洛峰
高洛峰

拥有18年软件开发和IT教学经验。曾任多家上市公司技术总监、架构师、项目经理、高级软件工程师等职务。 网络人气名人讲师,...

全部回复(1)
三叔

nginx是 【你】搭建的,还是要 【被禁止的用户】 搭建的?

HTTP_X_FORWARD_FOR是可以伪造的,但是 REMOTE_ADDR 是改变不了的。

如果是 【被禁止的用户】 的搭建的:你可以通过$_SERVER["REMOTE_ADDR"]可以获取到nginx服务器的IP,直接封。

如果是 【你】搭建的nginx:虽然可以通过$_SERVER["HTTP_X_FORWARD_FOR"]获取到用户的IP,但是有可能是伪造的。

proxy_set_header X-Forward-For $remote_addr

最好的办法是增加私有的HTTP头,nginx转发时增加私有http头X-GAGAGA(嘎嘎嘎,猜不到吧),使用$_SERVER["HTTP_X_GAGAGA"]获取,这样攻击这即使祥伪造,也不知道需要伪造啥。

proxy_set_header X-GAGAGA $remote_addr

另外,阿里旗下WW现在御用的代理平台HL系统因为HTTP_X_FORWARD_FOR过滤不严,精心构造请求可注入。。。(现在新版已经修复)

关于伪造,如果 你用的 Linux/Unix/OSX,自带的curl就可以实现:

curl abc.com/test.php -H "X-FORWARD-FOR:8.8.8.8"

如果不过滤,恰巧有直接通过IP来判断是否再黑名单或者后台有记录IP操作日志的功能:

#想注入就注入
curl miaoqiyuan.cn/test.php -H "X-FORWARD-FOR:' or 'a'='a"
#想XSS就XSS
curl miaoqiyuan.cn/test.php -H "X-FORWARD-FOR:alert('a')"

1.png

热门教程
更多>
最新下载
更多>
网站特效
网站源码
网站素材
前端模板
关于我们 免责申明 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送
PHP中文网APP
随时随地碎片化学习
PHP中文网抖音号
发现有趣的

Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号