欺骗客户IP地址
描述:欺骗客户IP地址
如果应用程序像X-Forwarded-For一样信任HTTP请求标头,以准确指定连接客户端的远程IP地址,则恶意客户端可以欺骗其IP地址。此行为不一定构成安全漏洞,但是一些应用程序使用客户端IP地址来强制访问控制和速率限制。例如,应用程序可能仅向从服务器本地IP地址连接的客户端展示管理功能,或者允许从每个唯一的IP地址进行一定数量的登录尝试。考虑审查相关功能以确定是否可能是这种情况。
修复:可欺骗客户IP地址
HTTP请求标头,例如X-ForwhereD-For,True-Client-IP和X-Real-IP并不是建立任何安全措施(例如访问控件)的强大基础。任何此类措施都应用不易欺骗的更安全的替代方案代替。
如果平台应用程序服务器由于存在任何特定的HTTP请求标头而返回有关客户端IP地址的错误信息,则可能需要重新配置服务器,或者应使用识别客户端的替代方法。
脆弱性分类
典型的严重程度
信息
类型索引(HEX)
0x00400110
类型索引(十进制)
4194576