记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

getip()漏洞代码(献给那些高傲的程序员)

2013-07-09 17:45
  前段时间看py的时候 ,去这位朋友的博客, 今天去博客的时候看有什么资料更新的时候,看他发了一个获取IP的。  因为我自己就是搞web安全的, 看到过很多getip的漏洞, 并且代码都是网上抄的。果不其然,我去看的时候就发现了这个代码也存在类似的漏洞。
 

<?php
/**
* 获取用户真实 IP
*/
function getIP()
{
static $realip;
if (isset($_SERVER)){
if (isset($_SERVER["HTTP_X_FORWARDED_FOR"])){
$realip = $_SERVER["HTTP_X_FORWARDED_FOR"];
} else if (isset($_SERVER["HTTP_CLIENT_IP"])) {
$realip = $_SERVER["HTTP_CLIENT_IP"];
} else {
$realip = $_SERVER["REMOTE_ADDR"];
}
} else {
if (getenv("HTTP_X_FORWARDED_FOR")){
$realip = getenv("HTTP_X_FORWARDED_FOR");
} else if (getenv("HTTP_CLIENT_IP")) {
$realip = getenv("HTTP_CLIENT_IP");
} else {
$realip = getenv("REMOTE_ADDR");
}
}


return $realip;
}

 

天下代码一大抄。。。HTTP_X_FORWARDED_FOR  HTTP_CLIENT_IP可以伪造, 要是后台不显示进行sql注入,要是后台显示进行sql注入跟xss都可以。
 
为什么文章标题是献给高傲的程序员呢。 因为程序员都是高傲的, 他写的程序出了bug,别人问程序员的时候,程序员心里立马肯定想, 操, 这傻逼会用我的程序么? 还说我的程序有bug。第二次问程序的时候,程序员心里才会想,是不是真是我自己的问题, 才会去看他的程序。很多人程序员都是这样,各位看管别喷,谢谢

知识来源: www.2cto.com/Article/201307/226307.html

阅读:94665 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“getip()漏洞代码(献给那些高傲的程序员)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云