溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
漏洞代碼地址:http://i006.blog.163.com/blog/static/20596514720136511728614/
前段時間看py的時候 ,去這位朋友的博客, 今天去博客的時候看有什么資料更新的時候,看他發了一個獲取IP的。 因為我自己就是搞web安全的, 看到過很多getip的漏洞, 并且代碼都是網上抄的。果不其然,我去看的時候就發現了這個代碼也存在類似的漏洞。
<?php
/**
* 獲取用戶真實 IP
*/
function getIP()
{
static $realip;
if (isset($_SERVER)){
if (isset($_SERVER["HTTP_X_FORWARDED_FOR"])){
$realip = $_SERVER["HTTP_X_FORWARDED_FOR"];
} else if (isset($_SERVER["HTTP_CLIENT_IP"])) {
$realip = $_SERVER["HTTP_CLIENT_IP"];
} else {
$realip = $_SERVER["REMOTE_ADDR"];
}
} else {
if (getenv("HTTP_X_FORWARDED_FOR")){
$realip = getenv("HTTP_X_FORWARDED_FOR");
} else if (getenv("HTTP_CLIENT_IP")) {
$realip = getenv("HTTP_CLIENT_IP");
} else {
$realip = getenv("REMOTE_ADDR");
}
}
return $realip;
} 天下代碼一大抄。。。HTTP_X_FORWARDED_FOR HTTP_CLIENT_IP可以偽造, 要是后臺不顯示進行sql注入,要是后臺顯示進行sql注入跟xss都可以。
為什么文章標題是獻給高傲的程序員呢。 因為程序員都是高傲的, 他寫的程序出了bug,別人問程序員的時候,程序員心里立馬肯定想, 操, 這×××會用我的程序么? 還說我的程序有bug。第二次問程序的時候,程序員心里才會想,是不是真是我自己的問題, 才會去看他的程序。很多人程序員都是這樣,各位看管別噴,謝謝。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
