PHP伪造来源HTTP_REFERER的方法实例详解
发布:smiling 来源: PHP粉丝网 添加日期:2021-06-08 17:18:53 浏览: 评论:0
这篇文章主要介绍了PHP伪造来源HTTP_REFERER的方法,以实例形式较为详细的分析了php伪造来源HTTP_REFERER的技巧与相关注意事项,非常具有实用价值,需要的朋友可以参考下
本文实例讲述了PHP伪造来源HTTP_REFERER的方法,分享给大家供大家参考,具体分析如下:
如今网络上十分流行论坛自动发帖机,自动顶贴机等,给众多论坛网站带来了大量的垃圾信息,许多网站只是简单地采用了判断HTTP_REFERER的值来进行过滤机器发帖,可是网页的HTTP_REFERER来路信息是可以被伪造的。任何事物都是双面刃,只要你善于利用就有其存在价值。
很早以前,下载软件如Flashget,迅雷等都可以伪造来路信息了,而这些软件的伪造HTTP_REFERER大多是基于底层的sock来构造虚假的http头信息来达到目的。本文就纯粹从技术角度讨论一下,php语言下的伪造HTTP_REFERER的方法,以期让大家了解过程,更好的防御。
环境:Apache/2.2.8 + PHP/5.2.5 + Windows XP系统,本地测试。
首先,在网站虚拟根目录下建立1.php和2.php两个文件。
其中,1.php文件内容如下:
- <?php
- $host = '127.0.0.1';
- $target = '/2.php';
- $referer = 'https://www.phpfensi.com'; //伪造HTTP_REFERER地址
- $fp = fsockopen($host, 80, $errno, $errstr, 30);
- if (!$fp){
- echo "$errstr($errno)<br />\n";
- }
- else{
- $out = "
- GET $target HTTP/1.1
- Host: $host
- Referer: $referer
- Connection: Close\r\n\r\n";
- fwrite($fp, $out);
- while (!feof($fp)){
- echo fgets($fp, 1024);
- }
- fclose($fp);
- }
- ?>
另一个2.php文件很简单,只是写上一行读取当前的HTTP_REFERER服务器值的代码即可,如下:
- <?php
- echo "<hr />";
- echo $_SERVER["HTTP_REFERER"];
- ?>
执行1.php文件,打开http://localhost/1.php,页面返回信息如下:
HTTP/1.1 200 OK Date: Fri, 04 Apr 2008 16:07:54 GMT Server: Apache/2.2.8 (Win32) PHP/5.2.5 X-Powered-By: PHP/5.2.5 Content-Length: 27 Connection: close Content-Type: text/html; charset=gb2312
看到了结果了吧,伪造来源HTTP_REFERER信息成功。所以,如果你的网站仅仅是判断HTTP_REFERER,并不是安全的,别人一样可以构造这样的来源,简单的防御方法就是验证页里加上验证码;还可以结合IP判断的方法。
补充:ASP下的伪造来源的代码如下:
- <%
- dim http
- set http=server.createobject("MSXML2.XMLHTTP") '//MSXML2.serverXMLHTTP也可以
- Http.open "GET",url,false
- Http.setRequestHeader "Referer","https://www.jb51.net/"
- Http.send()
- %>
如果你是一个有心人,请不要恶意利用这些方法,毕竟坏事做多了的话,效果就过犹不及了;比如你发大量的垃圾帖子吧,可能短期内会给你带来大量的外部链接,但这样的黑帽手段迟早要被搜索引擎发现,而这些已经发出去的链接就好像泼出去的水一样收不回来,这样的罪证就不是你能控制的了。
Tags: PHP伪造来源 HTTP_REFERER
相关文章
- ·php HTTP_REFERER模仿代码(2014-09-08)
推荐文章
热门文章
最新评论文章
- 写给考虑创业的年轻程序员(10)
- PHP新手上路(一)(7)
- 惹恼程序员的十件事(5)
- PHP邮件发送例子,已测试成功(5)
- 致初学者:PHP比ASP优秀的七个理由(4)
- PHP会被淘汰吗?(4)
- PHP新手上路(四)(4)
- 如何去学习PHP?(2)
- 简单入门级php分页代码(2)
- php中邮箱email 电话等格式的验证(2)