程式設計缺陷足以修改Header偽造IP

這其實是個老梗,很久以前就知道了。今天又突然想到,發篇文章好了。

很多網站上的程式教學都是錯誤的,取得IP方法用get Header 的 Client-IP 及 X-Forwarded-For

真的是禍害,Header是可以給用戶隨意變更的。

我修改了 Header 在網站上隨意搜尋 What is my ip ?。

1

結果大部分網站都有問題!

2
4

3

我怎麼改,網站就怎麼顯示,怎麼都對。如果今天我把Header改成<script>標籤,不就造成了XSS攻擊漏洞?改成SQL語法,造成SQL注入漏洞。

5

6

只是剛好想到,之前也沒發過類似的文章,補發。

Leave a Reply

Your email address will not be published. Required fields are marked *

*

CAPTCHA

*