【网络安全】X-Forwarded-For漏洞成因及防范

最新推荐文章于 2025-10-19 17:04:58 发布
最新推荐文章于 2025-10-19 17:04:58 发布
阅读量4.2k 收藏 2
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 网络安全新手快速入门(附漏洞挖掘案例) 文章标签: web安全
原创文章,禁止转载,否则保留追究法律责任的权利。
本文链接:https://blog.youkuaiyun.com/2301_77485708/article/details/143632108

文章目录

获取客户端IP背景

分布式拒绝服务攻击(DDoS)和频繁请求的爬虫行为属于异常请求,通过分析 IP 地址可以检测出这些异常行为。

同时,在 Web 应用开发中,获取客户端 IP 地址也是常见的需求。例如,在投票系统中,为了防止刷票,需要限制每个 IP 地址只能投票一次,这就涉及到获取客户端真实 IP 的问题。

如何获取客户端 IP

在 Java 中,获取客户端 IP 最直接的方式是使用 request.getRemoteAddr()。该方法在没有代理的情况下,可以直接获取连接服务器的客户端 IP。但是如今的 Web 应用通常不会直接将应用服务器对外开放,一般会有 Nginx 作为反向代理和负载均衡,有的甚至有多层代理。在这种情况下,直接使用 request.getRemoteAddr() 获取的 IP 地址会是代理服务器的 IP,而非真实客户端的 IP。

原因是:HTTP 协议基于 TCP 协议,request.getRemoteAddr() 默认获取的是 TCP 层直接连接的 IP,对于应用服务器来说,直接连接的是代理服务器(如 Nginx)。

为了获取真实客户端 IP,很多代理服务器会在 HTTP 头中添加 X-Forwarded-For,用来记录请求的来源路径。其格式如下:

X-Forwarded-For: client1, proxy1, proxy2

X-Forwarded-For</

了解本专栏 订阅专栏 解锁全文 超级会员免费看
http请求走私漏洞原理,利用,检测,防护
墨痕诉清风的博客
11-24 3215
当今的web架构中,单纯的一对一客户端---服务端结构已经逐渐过时。前端服务器与后端服务器。前端服务器(例如代理服务器)负责安全控制,只有被允许的请求才能转发给后端服务器,而后端服务器无条件的相信前端服务器转发过来的全部请求,并对每一个请求都进行响应。但是在这个过程中要保证前端服务器与后端服务器的请求边界设定一致,如果前后端服务器对请求包处理出现差异,那么就可能导致攻击者通过发送一个精心构造的http请求包,绕过前端服务器的安全策略直接抵达后端服务器访问到原本禁止访问的服务或接口,这就是http请求走私。
ruoyi项目,集成积木报表,遇到积木报表静态资源找不到,如何解决?
**My Coding Family**
09-08 1241
🏆本文收录于 《全栈Bug调优(实战版)》 专栏,该专栏专注于分享我在真实项目开发中遇到的各类疑难Bug及其深层成因,并系统提供高效、可复现的解决思路和实操方案。无论你是刚入行的新手开发者,还是拥有多年项目经验的资深工程师,本专栏都将为你提供一条系统化、高质量的问题排查与优化路径,助力你加速成长,攻克技术壁垒,迈向技术价值最大化与职业发展的更高峰🚀!
php代码审计之x-forwarded-for注入漏洞
cj_Hydra's Blog
02-06 2162
前言: x-forwarded-for大家应该都不陌生,是用来获取客户端的ip地址的,在实际开发应用中也是非常广泛的,今天这篇博客的主要内容就是x-forwarded-for注入xss代码来获得管理员cookie。 审计的源码还是上次install.php重装漏洞的源码。 步骤: 1.访问正常用户登录页面如下:2.找到源码中对应的文件进行审计,代码如下: <?php include_once...
墨者学院-X-Forwarded-For注入漏洞实战
weixin_42939822的博客
03-27 6599
墨者学院-X-Forwarded-For注入漏洞实战
详解 HTTP 特殊请求头:X-Forwarded-For 与 X-Real-IP(小白友好版)
最新发布
qq_39866533的博客
10-19 1568
X-Forwarded-For 是由早期 Squid 缓存代理软件提出的自定义 HTTP 头,目的是记录“客户端真实 IP + 请求经过的所有代理服务器 IP”,形成完整的请求链路,让后端服务器能追溯请求的真实来源。X-Real-IP 是另一种常用的自定义 HTTP 头,核心作用是向后端服务器传递“客户端真实 IP”,相比 XFF 的“完整链路”,它更简洁——仅记录一个 IP 地址,适合无需追溯代理链路、仅需真实 IP 的场景。两个头的本质是“反向代理传递真实 IP 的工具”
墨者学院 X-Forwarded-For注入漏洞实战
crasher123的博客
06-19 2231
SQLMap是一个基于Python编写的工具,因此需要安装Python。可以从Python官方网站下载Python安装包,也可以使用包管理器进行安装。如果Python已经安装,则会显示Python的版本号。请求信息中多加一条X-Forwarded-For:*得到库表名user和login,继续攻击user表。运行后会显示SQLMap的欢迎信息和命令行帮助。得到数据库名称为webcalender,进行扫描。安装burpsuite和sqlmap。2.安装Python。4.运行SQLMap。
nginx X-Forwarded-For伪造漏洞防范
LOOPY_Y的博客
02-19 5122
X-Forwarded-For 作为 HTTP 请求的扩展头,在请求的过程中可以被直接的进行修改。本人讲述如何通过nginx的配置进行防范
Web应用程序漏洞-X-Forwarded-For注入
我是网络安全兼技能大赛工程师,专注网络安全技术学习与技能大赛实战!持续分享最新的技术文章,帮你少走弯路,一起在技术赛道上进步~
07-20 4739
第二十八步,重新审阅刚刚获取os-shell时的日志,发现sqlmap在网站根目录下放置了一个tmpunjoh.php文件(文件名为随机,请注意),可以用于手动上传文件。可以看到,我们从X-Forwarded-For定义的内容,未经过筛选就执行了SQL语句用于查询该IP地址是否在白名单之内,且。第五步,一分钟后扫描结束,切换至Results标签页,可以看到/admin目录被扫描出来,推测该目录为管理员后台地址。第十六步,在BurpSuite中将X-Forwarded-For的值改为一个单引号(’)尝试。
Django消息框架安全指南:如何防范潜在的安全隐患?
[Django消息框架安全指南:如何防范潜在的安全隐患?](https://res.cloudinary.com/practicaldev/image/fetch/s--50ZFeLC9--/c_imagga_scale,f_auto,fl_progressive,h_420,q_auto,w_1000/...
ESP32自定义HTTP头部全指南:User-Agent、Authorization设置要点
通过Arduino框架提供的`WiFiClient`和`HTTPClient`库,开发者可灵活控制连接建立、请求发送及头部字段配置,为物联网场景下的API交互奠定基础。 # 2. ESP32中HTTP请求的构建原理 在物联网(IoT)系统中,ESP32作为...
X-Forwarded-For 客户端 IP 伪造过程及防范
笑忘哭的博客
01-18 9843
最近收到一条安全漏洞报告,通过利用代码漏洞,并结合HTTP扩展请求头 X-Forwarded-For 可以对客户端IP进行伪造,以达到非法目的。下面我将对这个漏洞进行介绍。 X-Forwarded-For 介绍 X-Forwarded-For 是一个 HTTP 扩展头部,用来表示HTTP请求端真实 IP,HTTP/1.1 协议并没有对它的定义,但现如今X-Forwarded-For已被各大 HTTP 代理、负载均衡等转发服务广泛使用。 X-Forwarded-For 请求头格式: X-Forwarded-
X-Forwarded-For
yuange
04-25 8332
问题背景 在Web应用开发中,经常会需要获取客户端IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。 如何获取客户端IP 在Java中,获取客户端IP最直接的方式就是使用request.getRemoteAddr()。这种方式能获取到连接服务器的客户端IP,在中间没有代理的情况下,的确是最简单有效的方式。但是目前互联网Web应用很少会将应用服务器直接对外提...
墨者 X-Forwarded-For注入漏洞
m0_52920608的博客
11-07 380
PS:这里也可以BP修改X-Forwarded-For参数, 手工报错注入updatexml函数 一步一步爆出数据,得到数据。我这里使用的sqlmap 1.打开后发现是登录界面,题目提示X-Forwarded-For,抓包: 在网站登陆处抓包,发现提示IP已被记录修改X-Forwarded-For发现ip改变,说明X-Forwarded-For字段的内容可控,且很有可能保存在数据库当中 2.将数据包保存为TXT文件(我这里保存名字为xff.txt),并将X-Forwarded-For字段内容置为*,提示s
HTTP头注入漏洞测试(X-Forwarded-for)
qq_36933272的博客
09-02 378
进入墨者的任性网页,burp截取数据包,send to repeater 加入X-Forwarded-For 判断注入点 判断列数 order by N,发现表数量是4 回显,union select 1,2,3,4 显示表名union select 1,2,3,(select group_concat(table_name) from information_schema.tables wher...
360众测靶场题库之16- X-Forwarded-For注入漏洞
zjl12344的博客
03-07 397
360众测靶场题库
墨者学院----X-Forwarded-For注入漏洞实战
weixin_53736204的博客
07-23 559
墨者学院----X-Forwarded-For
X-Forwarded-For注入漏洞实战
Language_Sumuzhe的博客
05-23 8288
题目:X-Forwarded-For注入漏洞实战 知识点: 是HTTP请求头中XFF的伪造和应用,是一道借用XFF来爆破数据库、表、列以及列值的题目。先输入账户为admin,密码为123456进行登录尝试,出现了弹窗,仔细观察弹窗会发现类似IP地址格式的112.111.12.126数据存在,猜测这是服务端记录并显示了客户端的IP地址。 首先了解服务端如何获取客户端请求IP地址? 服务端获取客户端请求IP地址,常见的包括:x-forwarded-for、client-ip等请求头,以及remote_add
墨者:X-Forwarded-For注入漏洞实战
qq_62000508的博客
07-27 1088
摘要: 本文介绍了X-Forwarded-For(XFF)HTTP头的安全风险及利用方法。XFF用于记录客户端真实IP,但未经验证时可能被伪造导致SQL注入。实验使用Burp Suite拦截请求并添加恶意XFF头,再通过SQLMap自动化检测漏洞。关键步骤包括:1)修改请求头并保存;2)使用SQLMap获取数据库信息(--current-db)、表结构(-D/-T)、数据(--dump)等。最后提示靶场重启后需清除缓存(--purge)重新测试。工具组合Burp Suite+SQLMap可有效检测此类注入漏
X-Forwarded-For伪造及防御
weixin_30564785的博客
03-21 1809
使用x-Forward_for插件或者burpsuit可以改包,伪造任意的IP地址,使一些管理员后台绕过对IP地址限制的访问。 防护策略: 1.对于直接使用的 Web 应用,必须使用从TCP连接中得到的 Remote Address,才是用户真实的IP; 2.对于使用 nginx 反向代理服务器的Web应用,nginx必须使用Remote Address正确配置set Headers,后端服务器则...
Node.js模块解析X-Forwarded-For标头的使用方法
然而,直接处理X-Forwarded-For标头可能相当复杂,因为需要考虑请求可能经过多个代理的情况,同时也需要考虑伪造安全性问题。 为了解决这一问题,有人开发了名为"forwarded"的Node.js模块。这个模块提供了一个...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值