Czy można bezpiecznie zaufać usłudze $ _SERVER ['REMOTE_ADDR']?

Question 1

Czy można zaufać $_SERVER['REMOTE_ADDR']? Czy można go zastąpić, zmieniając nagłówek żądania lub coś w tym rodzaju?

Czy napisanie czegoś takiego jest bezpieczne?

if ($_SERVER['REMOTE_ADDR'] == '222.222.222.222') { // my ip address
    $grant_all_admin_rights = true;
}

Question 2

Tak, to jest bezpieczne. Jest to źródłowy adres IP połączenia TCP i nie można go zastąpić przez zmianę nagłówka HTTP.

Jednym z przypadków, o które możesz się martwić, jest to, że jesteś za odwrotnym proxy, w którym to przypadku REMOTE_ADDR zawsze będzie adresem IP serwera proxy, a adres IP użytkownika zostanie dostarczony w nagłówku HTTP (takim jak X-Forwarded-For ). Ale dla zwykłego przypadku użycia odczyt REMOTE_ADDR jest w porządku.

Question 3

$_SERVER['REMOTE_ADDR']to adres IP, na który nadeszło połączenie TCP. Chociaż jest technicznie możliwe dwukierunkowe fałszowanie adresów IP w Internecie (poprzez ogłaszanie fałszywych tras przez BGP), takie ataki mogą zostać wykryte i niedostępne dla typowego atakującego - w zasadzie atakujący musi mieć kontrolę nad dostawcą usług internetowych lub operatorem. Nie ma (jeszcze) wykonalnych jednokierunkowych ataków fałszowania na TCP. Dwukierunkowe fałszowanie adresu IP jest jednak trywialne w sieci LAN.

Należy również pamiętać, że może to nie być adres IPv4, ale adres IPv6. Twoje obecne sprawdzenie jest pod tym względem w porządku, ale jeśli sprawdzisz, że 1.2.3.4występuje tylko w dowolnym miejscu w środku$_SERVER['REMOTE_ADDR'] , atakujący może po prostu połączyć się z 2001:1234:5678::1.2.3.4.

Podsumowując, w przypadku aplikacji innych niż krytyczne (bankowe / wojskowe / potencjalne szkody> 50 000 €) możesz użyć zdalnego adresu IP, jeśli możesz wykluczyć atakujących w sieci lokalnej.

Question 4

Jak wspomniano powyżej, nie jest to całkowicie bezpieczne. Ale to nie znaczy, że nie powinieneś go używać. Rozważ połączenie tego z innymi metodami uwierzytelniania, na przykład sprawdzaniem wartości COOKIE.

Answer 1

89

Czy można zaufać $_SERVER['REMOTE_ADDR']? Czy można go zastąpić, zmieniając nagłówek żądania lub coś w tym rodzaju?

Czy napisanie czegoś takiego jest bezpieczne?

if ($_SERVER['REMOTE_ADDR'] == '222.222.222.222') { // my ip address
    $grant_all_admin_rights = true;
}

php security ip-address Srebrne światło
źródło

3

Dodając do istniejących odpowiedzi, zawsze będzie to adres IP, który wysłał żądanie do twojego serwera, ale to nie znaczy, że jest to adres IP komputera, który rozpoczął żądanie. Pomiędzy Tobą a użytkownikiem końcowym może znajdować się dowolna liczba serwerów proxy, a najbliższy to otrzymany adres IP.

Dan Grossman,

tak, to jest bezpieczne, ponieważ nie można go zastąpić innymi sztuczkami lub oszustwem. ale upewnij się, że dodałeś więcej sprawdź zmienną $ grant_all_admin_rights.

Yuda Prawira

Każda zmienna $ _SERVER może zostać sfałszowana - np. Curl_setopt ($ ch, CURLOPT_HTTPHEADER, array ("REMOTE_ADDR: $ ip", "HTTP_X_FORWARDED_FOR: $ ip")); Zależy to więc całkowicie od kontekstu: jeśli atakujący oczekuje odpowiedzi, wróci do $ ip. Jeśli nie zależy im na odpowiedzi, z pewnością mogą sfałszować nagłówek. Jeśli zamiast tego twój kod po sprawdzeniu nagłówka mówi: "open_the_door_to_badguys ();" miałbyś problem.

TMG

3

@TMG Nie możesz sfałszować $_SERVER['REMOTE_ADDR']zmiennej, ustawiając nagłówek żądania HTTP. PHP automatycznie przedrostkuje wszystkie nagłówki żądań HTTP HTTP_przy tworzeniu kluczy w obszarze $_SERVERsuperglobalnym.

MrWhite

Answer 2

3

Dodając do istniejących odpowiedzi, zawsze będzie to adres IP, który wysłał żądanie do twojego serwera, ale to nie znaczy, że jest to adres IP komputera, który rozpoczął żądanie. Pomiędzy Tobą a użytkownikiem końcowym może znajdować się dowolna liczba serwerów proxy, a najbliższy to otrzymany adres IP.

Dan Grossman,

Answer 3

tak, to jest bezpieczne, ponieważ nie można go zastąpić innymi sztuczkami lub oszustwem. ale upewnij się, że dodałeś więcej sprawdź zmienną $ grant_all_admin_rights.

Yuda Prawira

Answer 4

Każda zmienna $ _SERVER może zostać sfałszowana - np. Curl_setopt ($ ch, CURLOPT_HTTPHEADER, array ("REMOTE_ADDR: $ ip", "HTTP_X_FORWARDED_FOR: $ ip")); Zależy to więc całkowicie od kontekstu: jeśli atakujący oczekuje odpowiedzi, wróci do $ ip. Jeśli nie zależy im na odpowiedzi, z pewnością mogą sfałszować nagłówek. Jeśli zamiast tego twój kod po sprawdzeniu nagłówka mówi: "open_the_door_to_badguys ();" miałbyś problem.

TMG

Answer 5

3

@TMG Nie możesz sfałszować $_SERVER['REMOTE_ADDR']zmiennej, ustawiając nagłówek żądania HTTP. PHP automatycznie przedrostkuje wszystkie nagłówki żądań HTTP HTTP_przy tworzeniu kluczy w obszarze $_SERVERsuperglobalnym.

MrWhite

Answer 6

110

Tak, to jest bezpieczne. Jest to źródłowy adres IP połączenia TCP i nie można go zastąpić przez zmianę nagłówka HTTP.

Jednym z przypadków, o które możesz się martwić, jest to, że jesteś za odwrotnym proxy, w którym to przypadku REMOTE_ADDR zawsze będzie adresem IP serwera proxy, a adres IP użytkownika zostanie dostarczony w nagłówku HTTP (takim jak X-Forwarded-For ). Ale dla zwykłego przypadku użycia odczyt REMOTE_ADDR jest w porządku.

sagi
źródło

4

A co z podszywaniem się pod adres IP?

Abdull

1

@Abdull Osoby, które mogą to zrobić, to zazwyczaj te same osoby, które mają fizyczny dostęp do Twojej skrzynki. więc nie martw się o to tak bardzo.

Behrooz

5

@Abdull IP spoofing może wysyłać wiadomości tylko w jedną stronę, nie możesz sfałszować swojego adresu IP i otrzymać w zamian wiadomość.

1

Czy routery internetowe nie sprawdzają źródłowego i docelowego adresu IP, aby kierować pakiety? Wątpię, czy sfałszowany pakiet kiedykolwiek dotrze do miejsca docelowego przez węzły internetowe.

Viktor Joras

Answer 7

4

A co z podszywaniem się pod adres IP?

Abdull

Answer 8

1

@Abdull Osoby, które mogą to zrobić, to zazwyczaj te same osoby, które mają fizyczny dostęp do Twojej skrzynki. więc nie martw się o to tak bardzo.

Behrooz

Answer 9

5

@Abdull IP spoofing może wysyłać wiadomości tylko w jedną stronę, nie możesz sfałszować swojego adresu IP i otrzymać w zamian wiadomość.

Answer 10

1

Czy routery internetowe nie sprawdzają źródłowego i docelowego adresu IP, aby kierować pakiety? Wątpię, czy sfałszowany pakiet kiedykolwiek dotrze do miejsca docelowego przez węzły internetowe.

Viktor Joras

Answer 11

57

$_SERVER['REMOTE_ADDR']to adres IP, na który nadeszło połączenie TCP. Chociaż jest technicznie możliwe dwukierunkowe fałszowanie adresów IP w Internecie (poprzez ogłaszanie fałszywych tras przez BGP), takie ataki mogą zostać wykryte i niedostępne dla typowego atakującego - w zasadzie atakujący musi mieć kontrolę nad dostawcą usług internetowych lub operatorem. Nie ma (jeszcze) wykonalnych jednokierunkowych ataków fałszowania na TCP. Dwukierunkowe fałszowanie adresu IP jest jednak trywialne w sieci LAN.

Należy również pamiętać, że może to nie być adres IPv4, ale adres IPv6. Twoje obecne sprawdzenie jest pod tym względem w porządku, ale jeśli sprawdzisz, że 1.2.3.4występuje tylko w dowolnym miejscu w środku$_SERVER['REMOTE_ADDR'] , atakujący może po prostu połączyć się z 2001:1234:5678::1.2.3.4.

Podsumowując, w przypadku aplikacji innych niż krytyczne (bankowe / wojskowe / potencjalne szkody> 50 000 €) możesz użyć zdalnego adresu IP, jeśli możesz wykluczyć atakujących w sieci lokalnej.

phihag
źródło

4

Brzmisz bardzo dobrze o protokole internetowym.

Brian Peterson

@phihag, to, czy $_SERVER['REMOTE_ADDR']jest to adres IP, na który nadeszło połączenie TCP, zależy całkowicie od twojego SAPI.

Pacerier

dla atakującego sieci WLAN WEP / WPA jest to dalekie od niewykonania, aby wyrzucić prawdziwego klienta i sfałszować ten adres IP - zarówno WEP, jak i WPA mają słabe punkty, które ułatwiają tworzenie fałszywych you have been kicked off the wlanpakietów za pomocą odpowiednich narzędzi. WPA downgrade testna przykład google

hanshenrik

Adres IP ma poziom IP, a nie poziom TCP.

Viktor Joras

Answer 12

4

Brzmisz bardzo dobrze o protokole internetowym.

Brian Peterson

Answer 13

@phihag, to, czy $_SERVER['REMOTE_ADDR']jest to adres IP, na który nadeszło połączenie TCP, zależy całkowicie od twojego SAPI.

Pacerier

Answer 14

dla atakującego sieci WLAN WEP / WPA jest to dalekie od niewykonania, aby wyrzucić prawdziwego klienta i sfałszować ten adres IP - zarówno WEP, jak i WPA mają słabe punkty, które ułatwiają tworzenie fałszywych you have been kicked off the wlanpakietów za pomocą odpowiednich narzędzi. WPA downgrade testna przykład google

hanshenrik

Answer 15

Adres IP ma poziom IP, a nie poziom TCP.

Viktor Joras

Answer 16

3

Jak wspomniano powyżej, nie jest to całkowicie bezpieczne. Ale to nie znaczy, że nie powinieneś go używać. Rozważ połączenie tego z innymi metodami uwierzytelniania, na przykład sprawdzaniem wartości COOKIE.

Audio
źródło

6

Po sfałszowaniu adresu IP, zmiana żądania http i wysłanie fałszywych plików cookie to bułka z masłem ..... (lub kawałek cookie)

Uri Goren

1

Proszę wyjaśnij, co masz na myśli, mówiąc „nie jest to całkowicie bezpieczne”

Jake,

Answer 17

6

Po sfałszowaniu adresu IP, zmiana żądania http i wysłanie fałszywych plików cookie to bułka z masłem ..... (lub kawałek cookie)

Uri Goren

Answer 18

1

Proszę wyjaśnij, co masz na myśli, mówiąc „nie jest to całkowicie bezpieczne”

Jake,

Czy można bezpiecznie zaufać usłudze $ _SERVER ['REMOTE_ADDR']?

Odpowiedzi: