我在一个网站上添加了一些额外的功能,员工可以使用,但是不允许客户查看。
所有员工都将在一系列域上。
我的做法是像这样获取用户IP:
$user_ip = gethostbyname($_SERVER['REMOTE_ADDR']);
我使用gethostbyname获取用户所在域名的所有IP地址数组。
然后,我检查用户是否在其中一个域名上:
in_array($user_ip,$allowedIPS)
如果用户在其中一个域上,则可以看到用于内部使用的其他功能。否则,他们只能看到面向公众的内容。
我的问题是,这是否安全?或者有人可能欺骗他们的IP地址,以似乎他们在我们的域上,并获得访问这些功能的权限吗?
ACK以响应您知道另一端服务器将要发送的数据包。 - Amber<img>标签生成GET请求和<form>,当页面或iframe被查看时自动执行.submit()。我仍然会防范CSRF以防止内部攻击。这可以简单地检查referer来实现。 - rook如果不是微不足道的话,IP欺骗是可能的。
为什么不让你的员工登录以获得访问仅限员工的功能呢?
阅读此处以获取更多信息。
http://www.astahost.com/info.php/hacker39s-view-easy-spoofing-ip-address_t13807.html
我在这个问题上点赞了ROOK。你不能欺骗TCP连接并仍然从进行欺骗的同一台机器访问你的网站。为什么?因为你的Web服务器将会对欺骗的IP地址做出响应(最初),以尝试建立套接字连接(TCP三次握手)。
如果你有两台计算机(A和B)位于两个不同的公共IP地址,并且你使用其中一台计算机(A)欺骗或发送数据包到你的Web服务器,使用B的IP地址,以便当你的Web服务器回复时,它会将数据包发送到B。
如果欺骗调用中使用的IP地址是你子网内部的,则内部工作站将收到未初始化的TCP SYN数据包的TCP ACK数据包并拒绝或忽略它们。我不知道任何TCP/IP堆栈实现会尝试针对ACK数据包完成三次握手;这违反了标准协议。
欺骗是一种UDP洪水攻击技术,攻击者使用虚假的IP地址进行DoS(拒绝服务)攻击,以尝试隐藏他们的踪迹。
希望这可以帮助你。
$_SERVER['REMOTE_ADDR'] 是由您的 Web 服务器提供的,直接欺骗它是不可能的。我唯一能想到的解决方法是通过允许的 IP 地址之一代理连接。
正如之前所讨论的,TCP在互联网上进行IP欺骗是不可能的,但存在攻击Web应用程序的其他方法。
请注意,许多Web实现(无论是使用PHP还是不使用)都容易受到X-Forwarded-For注入的攻击。 X-Forwarded-For是一个HTTP头,它指定了当请求通过代理时的原始IP地址。Apache2中没有验证(可能的),在某些配置中,这就是传递给PHP的REMOTE_ADDR的IP地址。因此,是的,IP欺骗是通过这种方式实现的。
假设攻击者设置一个请求头X-Forwarded-For,并将其值设置为127.0.0.1。如果HTTP服务器的配置允许此操作,则127.0.0.1将传递给PHP-FPM的REMOTE_ADDR,而不是实际攻击者的IP。当我浏览互联网时,我总是添加此标头来测试网页的安全性。其中很多在我的IP设置为本地主机时会显示附加的管理工具栏。即使是stackoverflow在测试阶段也存在此错误,一些主要软件今天仍然默认情况下“容易受到”此攻击。
一切皆有可能,但成本始终是个问题。
在大多数情况下,这种欺骗行为并不值得。
$_SERVER['REMOTE_ADDR']是用户的 IP 地址,您正在对其使用 gethostbyname,如果我没看错的话。 - Your Common Sense