X-Forwarded-For伪造及防御

Posted DrKang

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了X-Forwarded-For伪造及防御相关的知识,希望对你有一定的参考价值。

使用x-Forward_for插件或者burpsuit可以改包,伪造任意的IP地址,使一些管理员后台绕过对IP地址限制的访问。

防护策略:
1.对于直接使用的 Web 应用,必须使用从TCP连接中得到的 Remote Address,才是用户真实的IP;
2.对于使用 nginx 反向代理服务器的Web应用,nginx必须使用Remote Address正确配置set Headers,后端服务器则使用nginx传过来的相应IP地址作为用户真实IP;同时,后端服务器应使用X-Real-IP 或 X-Forwarded-For最后1段IP作为限制,允许自己的nginx服务器访问,禁止其它IP访问,禁止对外提供服务

以上是关于X-Forwarded-For伪造及防御的主要内容,如果未能解决你的问题,请参考以下文章

WEB攻击手段及防御第3篇-CSRF

CSRF 入门及防御

伪造XFF头绕过服务器IP过滤

CSRF 攻击及防御

CSRF攻击及防御建议

CSRF漏洞攻击原理及防御方案