在現代Web架構中,反向代理、負載均衡器和CDN的廣泛使用,使得服務器無法直接獲取客戶端的真實IP地址,為了實現用戶身份識別、日志記錄、地理定位和訪問控制等功能,開發者通常使用某些HTTP請求頭獲取客戶端來源IP,其中最常用的就是X-Forwarded-For(XFF)。本文將以XFF請求偽造為例,從漏洞介紹、實際案例、修復方式出發,詳細了解客戶端來源IP偽造攻擊與防護。
X-Forwarded-For(XFF)是一個HTTP頭字段,主要用于識別原始客戶端的IP地址,通常由反向代理或負載均衡服務器添加。當應用程序依賴X-Forwarded-For 獲取客戶端IP進行安全控制時,攻擊者可以偽造該頭,繞過安全限制,例如:
·繞過IP訪問控制:攻擊者偽造XFF頭繞過基于IP的白名單機制。
·日志污染與溯源欺騙:攻擊者偽造XFF頭,干擾日志記錄,影響取證調查。
·Web應用防火墻 (WAF) 繞過:某些WAF依賴XFF進行訪問控制,可能被繞過。
該漏洞的根本原因在于,服務端代碼沒有對X-Forwarded-For進行有效校驗:
1. 直接信任XFF作為客戶端IP:許多應用程序直接從HTTP頭中讀取X-Forwarded-For,并將其用于訪問控制或日志記錄。
2. 多層代理下錯誤解析:
·XFF頭可能包含多個IP(如 X-Forwarded-For: 192.168.1.1, 10.0.0.1, 8.8.8.8)。
·如果服務器未正確解析,可能錯誤地使用攻擊者提供的IP。
1. 攔截請求,添加X-Forwarded-For偽造 IP:
GET /admin HTTP/1.1Host: target.comX-Forwarded-For: 192.168.1.100
2. 發送請求,觀察是否成功繞過訪問限制或造成日志記錄了偽造的IP。
burpFakeIP(https://github.com/TheKingOfDuck/burpFakeIP) 插件可自動插入X-Forwarded-For以及其他獲取客戶端IP的HTTP頭,如X-Forwarded、X-Real-IP等。
插件中除X-Forwarded-For外,還包含 X-Real-IP等頭,也是常見用于傳遞客戶端 IP 的 HTTP 請求頭:
·X-Forwarded-For:最常用的頭,格式為 客戶端IP, 代理1IP, 代理2IP。
·X-Forwarded:與X-Forwarded-For類似,但較少使用。
·X-Real-IP:通常由反向代理(如Nginx)設置,直接傳遞客戶端IP。
·Ali-Cdn-Real-Ip:阿里云CDN專用的頭,用于傳遞客戶端真實IP。
·WL-Proxy-Client-IP:WebLogic服務器使用的頭。
附錄中列舉了更詳細的說明。
這些HTTP請求頭在配置不正確的情況下,也會被偽造。下一節中將介紹相關案例。
某系統記錄用戶操作,例如登錄、刪除、修改系統配置等,可在系統日志功能中可查看。
經驗證使用Proxy-Client-Ip可偽造客戶端IP。
從代碼段可以看出,服務端直接信任客戶端傳來的HTTP請求頭作為客戶端IP,導致偽造。
在搜索引擎搜索獲取客戶端IP的方式,大概率會得到類似代碼,如果開發不理解代碼原理,直接應用到業務中來,則會面臨客戶端請求頭偽造的風險。
比如這段代碼中,后端獲取Proxy-Client-Ip和WL-Proxy-Client-IP,Proxy-Client-IP字段和WL-Proxy-Client-IP字段只在Apache(Weblogic Plug-In Enable)+ WebLogic搭配下出現,而實際業務中并未使用到Apache和Weblogic,因此這段代碼并無實際作用,反而引入了漏洞。
如何防止XFF偽造,獲取用戶真實IP呢?
現在Web應用部署,一般會經過多重代理,如CDN、負載均衡、Nginx反向代理,以Nginx代理為例來看多重代理環境下如何獲取真實客戶端IP。
防御原理很簡單,nginx不使用客戶端傳來的X-Forwarded-For,在直接對外的Nginx(即直接對外提供服務的Nginx)配置,修改nginx.conf。
1. 反向代理Nginx配置X-Forwarded-For
在nginx.conf中通過proxy_set_header傳遞X-Forwarded-For:
server { listen 80; location / { proxy_pass <http://backend>; proxy_set_header X-Forwarded-For $remote_addr; proxy_set_header X-Real-IP $remote_addr; }}
·$remote_addr:Nginx直接接收到的IP(通常是上游代理的 IP)。$remote_addr是獲取的是直接TCP連接的客戶端IP(類似于Java中的request.getRemoteAddr())這個是無法被偽造的。該設置可直接覆蓋掉客戶端傳來的X-Forwarded-For頭。
2. 應用服務器,以java應用為例
public String getClientIp(HttpServletRequest request) { String xff = request.getHeader("X-Forwarded-For"); if (xff != null && !xff.isEmpty()) { String[] ipList = xff.split(","); return ipList[0].trim(); } return request.getRemoteAddr();}
這段代碼的作用是獲取并解析請求頭X-Forwarded-For,經過代理,X-Forwarded-For形式可能為X-Forwarded-For:clientIP, proxy1, proxy2, proxy3
需提取第一個非代理IP。
如果中間經過多層代理,比如雙重Nginx如何配置?
1. 第一層Nginx配置X-Forwarded-For
與5.1配置相同.
server { listen 80; location / { proxy_pass <http://backend>; proxy_set_header X-Forwarded-For $remote_addr; proxy_set_header X-Real-IP $remote_addr; }}
2. 第二層Nginx配置X-Forwarded-For
server { listen 80; location / { proxy_pass <http://backend>; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Real-IP $remote_addr; }}
·這里需注意$proxy_add_x_forwarded_for:自動追加原始X-Forwarded-For頭,以保留完整的IP鏈。
·也可以不做配置,直接透傳Nginx1發送過來的請求。
3. 后端獲取真實IP
與5.1相同
閱讀原文:原文鏈接
該文章在 2025/6/6 12:12:16 編輯過
400 186 1886
