超碰人人人人人,亚洲AV午夜福利精品一区二区,亚洲欧美综合区丁香五月1区,日韩欧美亚洲系列

LOGO OA教程 ERP教程 模切知識(shí)交流 PMS教程 CRM教程 開(kāi)發(fā)文檔 其他文檔  
 
網(wǎng)站管理員

PHP偽造來(lái)源HTTP_REFERER的方法討論
admin
2012年8月17日 22:17 本文熱度 4173
正 文:




    如今網(wǎng)絡(luò)上十分流行論壇自動(dòng)發(fā)帖機(jī),自動(dòng)頂貼機(jī)等,給眾多論壇網(wǎng)站帶來(lái)了大量的垃圾信息,許多網(wǎng)站只是簡(jiǎn)單地采用了判斷HTTP_REFERER的值來(lái)進(jìn)行過(guò)濾機(jī)器發(fā)帖,可是網(wǎng)頁(yè)的HTTP_REFERER來(lái)路信息是可以被偽造的。任何事物都是雙面刃,只要你善于利用就有其存在價(jià)值。

    很早以前,下載軟件如Flashget,迅雷等都可以偽造來(lái)路信息了,而這些軟件的偽造HTTP_REFERER大多是基于底層的sock來(lái)構(gòu)造虛假的http頭信息來(lái)達(dá)到目的。本文就純粹從技術(shù)角度討論一下,php語(yǔ)言下的偽造HTTP_REFERER的方法,以期讓大家了解過(guò)程,更好的防御。

    環(huán)境:Apache/2.2.8 + PHP/5.2.5 + Windows XP系統(tǒng),本地測(cè)試。

    首先,在網(wǎng)站虛擬根目錄下建立1.php和2.php兩個(gè)文件。

    其中,1.php文件內(nèi)容如下:


<?php
$host = '127.0.0.1';
$target = '/2.php';
$referer = 'http://www.baidu.org'; //偽造HTTP_REFERER地址
$fp = fsockopen($host, 80, $errno, $errstr, 30);
if (!$fp){
echo "$errstr($errno)<br />\n";

else{
$out = "
GET $target HTTP/1.1
Host: $host
Referer: $referer
Connection: Close\r\n\r\n";
fwrite($fp, $out);
while (!feof($fp)){
echo fgets($fp, 1024);
}
fclose($fp);
}
?>

    另一個(gè)2.php文件很簡(jiǎn)單,只是寫(xiě)上一行讀取當(dāng)前的HTTP_REFERER服務(wù)器值的代碼即可,如下:


<?php
echo "<hr />";
echo $_SERVER["HTTP_REFERER"];
?>

    執(zhí)行1.php文件,打開(kāi)http://localhost/1.php,頁(yè)面返回信息如下:



HTTP/1.1 200 OK Date: Fri, 04 Apr 2008 16:07:54 GMT Server: Apache/2.2.8 (Win32) PHP/5.2.5 X-Powered-By: PHP/5.2.5 Content-Length: 27 Connection: close Content-Type: text/html; charset=gb2312 
--------------------------------------------------------------------------------
http://www.baidu.org

    看到了結(jié)果了吧,偽造來(lái)源HTTP_REFERER信息成功。所以,如果你的網(wǎng)站僅僅是判斷HTTP_REFERER,并不是安全的,別人一樣可以構(gòu)造這樣的來(lái)源,簡(jiǎn)單的防御方法就是驗(yàn)證頁(yè)里加上驗(yàn)證碼;還可以結(jié)合IP判斷的方法。

    補(bǔ)充:ASP下的偽造來(lái)源的代碼如下:


<%dim http 
set http=server.createobject("MSXML2.XMLHTTP") '//MSXML2.serverXMLHTTP也可以
Http.open "GET",url,false 
Http.setRequestHeader "Referer","http://www.baidu.org/" 
Http.send() %>

    如果你是一個(gè)有心人,請(qǐng)不要惡意利用這些方法,畢竟壞事做多了的話(huà),效果就過(guò)猶不及了;比如你發(fā)大量的垃圾帖子吧,可能短期內(nèi)會(huì)給你帶來(lái)大量的外部鏈接,但這樣的黑帽手段遲早要被搜索引擎發(fā)現(xiàn),而這些已經(jīng)發(fā)出去的鏈接就好像潑出去的水一樣收不回來(lái),這樣的罪證就不是你能控制的了。

該文章在 2012/8/17 22:17:34 編輯過(guò)
關(guān)鍵字查詢(xún)
相關(guān)文章
正在查詢(xún)...
點(diǎn)晴ERP是一款針對(duì)中小制造業(yè)的專(zhuān)業(yè)生產(chǎn)管理軟件系統(tǒng),系統(tǒng)成熟度和易用性得到了國(guó)內(nèi)大量中小企業(yè)的青睞。
點(diǎn)晴PMS碼頭管理系統(tǒng)主要針對(duì)港口碼頭集裝箱與散貨日常運(yùn)作、調(diào)度、堆場(chǎng)、車(chē)隊(duì)、財(cái)務(wù)費(fèi)用、相關(guān)報(bào)表等業(yè)務(wù)管理,結(jié)合碼頭的業(yè)務(wù)特點(diǎn),圍繞調(diào)度、堆場(chǎng)作業(yè)而開(kāi)發(fā)的。集技術(shù)的先進(jìn)性、管理的有效性于一體,是物流碼頭及其他港口類(lèi)企業(yè)的高效ERP管理信息系統(tǒng)。
點(diǎn)晴WMS倉(cāng)儲(chǔ)管理系統(tǒng)提供了貨物產(chǎn)品管理,銷(xiāo)售管理,采購(gòu)管理,倉(cāng)儲(chǔ)管理,倉(cāng)庫(kù)管理,保質(zhì)期管理,貨位管理,庫(kù)位管理,生產(chǎn)管理,WMS管理系統(tǒng),標(biāo)簽打印,條形碼,二維碼管理,批號(hào)管理軟件。
點(diǎn)晴免費(fèi)OA是一款軟件和通用服務(wù)都免費(fèi),不限功能、不限時(shí)間、不限用戶(hù)的免費(fèi)OA協(xié)同辦公管理系統(tǒng)。
Copyright 2010-2025 ClickSun All Rights Reserved