-
刷票分为多个限制,注册用户,验证码和IP限制。这个网站,不是,是投票网站,限制IP。如果我们想突破这些限制,我们需要知道如何获取用户的IP。
Getenv('http_x_forwarded_for)
Getenv('http_client_ip)
Getenv('remote_addr)
http_x_forwarded_for
这是从HTTP头的头部获得的,他的格式是IP,B IP,C IP。
Web站点负载平衡过重,所以负载均衡器放在应用程序前面,用户不能直接访问它。
用户使用代理访问它。
用户第一次使用一个IP,每增加一层代理,这将添加一个IP后面,用逗号分开,最后达到真正的Web容器。只要头获取信息,它可以是伪造的。所以一个IP的使用可能不是用户真实IP所以在这种情况下,我们只能用一个负载平衡IP用户的真实IP,至少这个数据是正确的,但是这个IP可能是用户的代理IP,而不是用户的真实IP,但这至少是一位比用户的虚假IP。
http_client_ip
这也是从头头获得的,它最初的目的是记录用户的真实IP,但很少使用。
remote_addr
这是获得连接的ip。只有小网站被用来直接泄露数据。该网站是一个单点无任何负载平衡。如果pxory用于上层,这个数据是代理IP。
我是邪恶的forgerying x-forwarder-for数据,然后他们的欺骗。然而,几天后,这个漏洞被发现了,然后我转向了代理的方式。