文章总结： 文档分析IP伪造漏洞，指出应用从请求头获取IP存在安全风险，攻击者可伪造X-Forwarded-For等字段绕过IP记录和白名单限制。通过两个实战案例展示漏洞利用过程，提供常见伪造请求头列表作为测试方法，并建议使用$remote_addr获取真实IP进行修复。 综合评分： 79 文章分类： 渗透测试,WEB安全,漏洞分析,实战经验,红队

【渗透测试】不怎么水的洞之IP伪造

小湫泥 小湫泥

不怎么安全

2025年6月22日 20:45 北京

在小说阅读器读本章

去阅读

漏洞原理

有些应用程序有记录用户IP的功能或者限制IP白名单的功能，如果应用程序从请求头字段获取用户IP，可能会被攻击者伪造，来达到欺骗服务器的目的。

案例一

操作日志的页面有个记录用户IP功能

插入常见的获取请求IP的请求头

效果如下

案例二

开发说有个接口有白名单限制

然后在请求头中添加了X-Forwarded-For，成功绕过限制

测试方法

将下列常见的获取IP的请求头添加到请求包中即可

X-Forwarded-For: 127.0.0.1
X-Originating-IP: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1
X-Client-IP: 127.0.0.1
Proxy-Client-IP: 127.0.0.1
WL-Proxy-Client-IP: 127.0.0.1
HTTP_CLIENT_IP: 127.0.0.1
X-Real-IP: 127.0.0.1

修复方法

使用$remote_addr获取用户的真实IP

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：不怎么安全 小湫泥 小湫泥《【渗透测试】不怎么水的洞之IP伪造》