访问ASPPHP与NET伪造HTTP-REFERER方法及防止伪造REFERER方法探讨

referer  时间:2021-02-25  阅读:()

ASP,PHP与.NET伪造HTTP-REFER ER方法及防止伪造R EFERE R方法探讨

2007-08-15 14:47HTT P-REFER ER这个变量已经越来越不可靠了完全就是可以伪造出来的东东。

以下是伪造方法

ASP:dim httpset http=serve r.creat eobje ct("MSXML 2.XMLHT TP") '//MSXML 2.serve rXMLHTTP也可以Http.open "GET",url,false

Http. setRe quest Heade r"Refer er", "http://www.dc9.cn/"

Http. send()

PHP(前提是装了curl) :

$ch = curl_init() ;curl_setop t ($ch, CURLO PT_UR L, "http://www.dc9.cn/xxx.asp") ;curl_setop t ($ch, CURLO PT_RE FERER, "http://www.dc9.cn/") ;curl_exec ($ch) ;curl_close ($ch) ;

PHP(不装cur l用soc k)

$serve r= 'www.dc9.cn' ;

$ho s t = 'www.dc9.cn' ;

$targe t = '/xxx.asp' ;

$refer er = 'http://www.dc9.cn/' ; // Refer er

$port = 80;

$fp = fsock open($serve r, $port, $errno, $errst r, 30) ;if (!$fp)

{echo "$errst r ($errno)<br />\n";

}else

{

$out = "GET $targe t HTTP/1. 1\r\n";

$out .= "Host: $host\r\n";

$out .= "Cooki e: ASPSE SSION IDSQT BQSDA=DFCAP KLBBF ICDAF MHNKI GKEG\r\n";

$out .= "Refer er: $referer\r\n";

$out .= "Conne ction : Close\r\n\r\n";fwrit e($fp, $out) ;while (!feof($fp) )

{echo fgets ($fp, 128) ;

}fclos e($fp) ;

}

VB.NET/C#.NET

Dim oXMLH ttp As MSXML 2.XMLHT TP30 = New MSXML 2.XMLHT TP30()

或者

MSXML 2.XMLHT TP30 oXMLH ttp = new MSXML 2.XMLHT TP30() ;oXMLH ttp.open(. . . .oXMLH ttp. setRe quest Heade r(. . .oXMLH ttp. send(. .javas criptxmlHt tp. setRe quest Heade r("Refer er", "http://URL") ;//???呵呵~假的~

JS不支持^_^

原理都是s ock构造http头来send data。其他语言什么的比如p erl也可以,

目前比较简单的防御伪造refe rer的方法是用验证码Sessi on。

现在有一些能防盗链软件的商业公司比如UUDOG linkgate Virtu alWal l什么的都是开发的应用于IIS上面的dll。

有的是采用cooki es验证、线程控制有的是能随机生成文件名然后做U RL重写。有的方法能的确达到不错的效果.

不过道高一尺魔高一丈这些雕虫小技终归是有破解方法的。

======================================================

? FeedB urner不认我的F eed了Ubuntu从源升级的一点心得?HTTP Refer er二三事授权方式署名非商业用途保持一致转载时请务必以超链接 (http://www.fwo l f.com/blog/post/320)的形式标明文章原始出处和作者信息及本声明。什么是HTTPReferer简言之HTTP Refer er是he ader的一部分 当浏览器向web服务器发送请求的时候一般会带上Refer er告诉服务器我是从哪个页面链接过来的服务器籍此可以获得一些信息用于处理。 比如从我主页上链接到一个朋友那里他的服务器就能够从HTTP Referer中统计出每天有多少用户点击我主页上的链接访问他的网站。

Refer er其实应该是英文单词Refe rrer不过拼错的人太多了所以编写标准的人也就将错就错了 。

我的问题

我刚刚把f eed阅读器改变为G regar ius但他不像我以前用的l ifere a访问新浪博客的时候无法显示其中的图片提示“此图片仅限于新浪博客用户交流与沟通”我知道这就是HT TP Refer er导致的。

由于我上网客户端配置的特殊性首先怀疑是 squid的问题但通过实验排除了不过同时发现了一个Squid和Tor、 Privoxy协同使用的隐私泄露问题 留待以后研究。

Grega rius能处理这个问题么

答案是否定的因为Gre gariu s只是负责输出htm l代码而对图像的访问是有客户端浏览器向服务器请求的。

不过安装个fi refox扩展也许能解决问题文中推荐的”Send Refer rer”我没有找到但发现另外一个可用的 ” RefCo ntrol “可以根据访问网站的不同控制使用不同的Referer。

但是我不喜欢用Fir efox扩展来解决问题 因为我觉得他效率太低所以我用更好的方式——Privoxy。

Privoxy真棒

在Priv oxy的defaul t.action中添加两行

{+hide-refer er{forge}}

.album.sina.com.cn

这样Gre gariu s中新浪博客的图片就出来了吧 +hide-referer是Pr ivoxy的一个过滤器设置访问时对HTTP Refer er的处理方式后面的fo rge代表用访问地址当作Ref ere的还可以换成block代表取消R efere r或者直接把需要用的R efere r网址写在这里。用Priv oxy比用Firef ox简单的多赶紧换吧。

From https to http

我还发现从一个ht tps页面上的链接访问到一个非加密的ht tp页面的时候在http页面上是检查不到HTTPRefer er的 比如当我点击自己的h ttps页面下面的w3cxhtml验证图标网址为ht tp://validator.w3.org/check?uri=refer er 从来都无法完成校验提示No Refer er heade r found !

原来在http协议的rf c文档中有定义

15. 1.3 Encod ing Sensi tive Information in URI' s

. . .

Clien ts SHOULDNOT include a Referer header field in a (non-secure)

HTTP reque st if the referring page was trans ferre dwith a secur eproto col.

这样是出于安全的考虑访问非加密页时如果来源是加密页客户端不发送Refe rer IE一直都是这样实现的 Firef ox浏览器也不例外。但这并不影响从加密页到加密页的访问。Firef ox中关于Referer的设置

都在里有两个键值netwo rk.http. sendR efere rHead er (defau lt=2)

设置Ref erer的发送方式 0为完全不发送 1为只在点击链接时发送在访问页面中的图像什么的时候不发送 2为始终发送。参见Privacy Tip #3: Block RefererHeaders inFirefoxnetwo rk.http. sendS ecure XSite Refer rer (defau lt=true)

设置从一个加密页访问到另外一个加密页的时候是否发送Refer er true为发送 false为不发送。

利用Ref erer防止图片盗链

虽然Ref erer并不可靠但用来防止图片盗链还是足够的毕竟不是每个人都会修改客户端的配置。实现一般都是通过ap ache的配置文件首先设置允许访问的地址标记下来#只允许来自 domai n.com的访问 图片可能就放置在do main.com网站的页面上

SetEn vIfNo Case Refer er "^http://www.domai n.com/" local_ref

#直接通过地址访问

SetEn vIf Referer "^$" local_ref

然后再规定被标记了的访问才被允许

<FilesMatch ". (gif|jpg)">

Order Allow,Deny

Allow from env=local_ref

</Files Match>

或者

<Direc tory /web/image s>

Order Deny,Allow

Deny from all

Allow from env=local_ref

</Direc tory>

这方面的文章网上很多参考

Apach e下防止盗链的解决办法

Apach e的环境变量设置

配置Apach e实现禁止图片盗链

不要使用R erfer er的地方

不要把Re rfere r用在身份验证或者其他非常重要的检查上因为Rer ferer非常容易在客户端被改变不管是通过上面介绍的Firef ox扩展或者是Pr ivoxy甚至是li bcurl的调用所以Rer ferer数据非常之不可信。

如果你想限制用户必须从某个入口页面访问的话与其使用Referer不如使用session在入口页面写入ses sion然后在其他页面检查如果用户没有访问过入口页面那么对应的sessi on就不存在参见这里的讨论。不过和上面说的一样也不要过于相信这种方式的“验证”结果。

个人感觉现在Rerf erer除了用在防盗链其他用途最多的就是访问统计 比如统计用户都是从哪里的链接访问过来的等等。

Hostodo:$19.99/年KVM-1GB/12GB/4TB/拉斯维加斯

Hostodo发布了几款采用NVMe磁盘的促销套餐,从512MB内存起,最低年付14.99美元,基于KVM架构,开设在拉斯维加斯机房。这是一家成立于2014年的国外VPS主机商,主打低价VPS套餐且年付为主,基于OpenVZ和KVM架构,产品性能一般,数据中心目前在拉斯维加斯和迈阿密,支持使用PayPal或者支付宝等付款方式。下面列出几款NVMe硬盘套餐配置信息。CPU:1core内存:512MB...

BuyVM新设立的迈阿密机房速度怎么样?简单的测评速度性能

BuyVM商家算是一家比较老牌的海外主机商,公司设立在加拿大,曾经是低价便宜VPS主机的代表,目前为止有提供纽约、拉斯维加斯、卢森堡机房,以及新增加的美国迈阿密机房。如果我们有需要选择BuyVM商家的机器需要注意的是注册信息的时候一定要规范,否则很容易出现欺诈订单,甚至你开通后都有可能被禁止账户,也是这个原因,曾经被很多人吐槽的。这里我们简单的对于BuyVM商家新增加的迈阿密机房进行简单的测评。如...

virmach:3.23美元用6个月,10G硬盘/VirMach1核6个月Virmach

virmach这是第二波出这种一次性周期的VPS了,只需要缴费1一次即可,用完即抛,也不允许你在后面续费。本次促销的是美国西海岸的圣何塞和美国东海岸的水牛城,周期为6个月,过后VPS会被自动且是强制性取消。需要临时玩玩的,又不想多花钱的用户,可以考虑下!官方网站:https://www.virmach.comTemporary Length Service Specials圣何塞VPS-一次性6个...

referer为你推荐
主页改不了怎么改不了主页中国论坛大全有谁知道国内人气最高的论坛排行榜?正则表达式javajava正则表达式网易公开课怎么下载哪位高手指导一下,如何下载网易公开课啊?ios7固件下载iOS7如何升级固件?mate8价格华为麦特八多少价格srv记录exchange 2010 自动发现需不需要srv记录发邮件怎么发怎样发送邮件微信怎么看聊天记录怎样查找一个人的微信聊天记录微信怎么看聊天记录如何查找微信聊天记录
过期已备案域名 highfrequency webhostingpad bash漏洞 mobaxterm godaddy域名转出 全站静态化 gspeed 可外链网盘 阿里校园 netvigator 空间排行榜 weblogic部署 免费服务器 回程 vpsaa 国外bt网站 dell服务器论坛 万网主机代理 海贼王789 更多