1、解题思路:在burpsuit中抓包。然后添加x-forwarded_for:1.1.1.1
2、知识点:
解释为什么用X_FORWARDED_FOR伪造IP的原因:
1.HTTP_CLIENT_IP头是有的,只是未成标准,不一定服务器都实现了。(百度发现这是一个传说。)
2. HTTP_X_FORWARDED_FOR 是有标准定义,用来识别经过HTTP代理后的客户端IP地址,格式:clientip,proxy1,proxy2。
拓展:如果说有些限制ip地址多次投票使用的是这种方法检验的话,可以绕过。
利用"HTTP_X_FORWARDED_FOR"这个属性获取客户端IP的方法就不再可取了.-_- # 但如果不用这种方法.那么那些真正使用了代理服务器的人.我们又不能再获取到他们的真实IP地 址(因为某些代理服务器会在"X_FORWARDED_FOR"这个HTTP头里加上访问用户真正的IP地址).呵.现实就是这样,某种东西都有有得必有失...
原文链接:https://www.cnblogs.com/kingthy/archive/2007/11/24/970783.html
3. REMOTE_ADDR 是可靠的, 它是最后一个跟你的服务器握手的IP,在curl 中也无法伪造是,相对比较安全的服务端ip获取方法
拓展
curl是利用URL语法在命令行方式下工作的开源文件传输工具。它被广泛应用在Unix、多种Linux 发行版中,并且有DOS和Win32、Win64下的移植版本。
今天就是讲给REMOTE_ADDR不可以伪造的,就在curl 中也无法伪造 相对是比较安全的服务端ip 获取方法,当然,也有可能被路由伪造 这个不好说,因为REMOTE_ADDR 是底层的回话ip地 址, 路由是可以发起伪造。所以,网上很多人都在问这个问题,也有很多人不死心,但现实确实是 残酷的 也是完美的
