PHP伪造来源HTTP_REFERER的⽅法实例详解
本⽂实例讲述了PHP伪造来源HTTP_REFERER的⽅法。分享给⼤家供⼤家参考。具体分析如下:
如今⽹络上⼗分流⾏论坛⾃动发帖机,⾃动顶贴机等,给众多论坛⽹站带来了⼤量的垃圾信息,许多⽹站只是简单地采⽤了判断HTTP_REFERER的值来进⾏过滤机器发帖,可是⽹页的HTTP_REFERER来路信息是可以被伪造的。任何事物都是双⾯刃,只要你善于利⽤就有其存在价值。
很早以前,下载软件如Flashget,迅雷等都可以伪造来路信息了,⽽这些软件的伪造HTTP_REFERER⼤多是基于底层的sock来构造虚假的http头信息来达到⽬的。本⽂就纯粹从技术⾓度讨论⼀下,php语⾔下的伪造HTTP_REFERER的⽅法,以期让⼤家了解过程,更好的防御。
环境:Apache/2.2.8 + PHP/5.2.5 + Windows XP系统,本地测试。
php实例代码详解⾸先,在⽹站虚拟根⽬录下建⽴1.php和2.php两个⽂件。
其中,1.php⽂件内容如下:
<?php
$host = '127.0.0.1';
$target = '/2.php';
$referer = 'www.jb51'; //伪造HTTP_REFERER地址
$fp = fsockopen($host, 80, $errno, $errstr, 30);
if (!$fp){
echo "$errstr($errno)<br />\n";
}
else{
$out = "
GET $target HTTP/1.1
Host: $host
Referer: $referer
Connection: Close\r\n\r\n";
fwrite($fp, $out);
while (!feof($fp)){
echo fgets($fp, 1024);
}
fclose($fp);
}
>
另⼀个2.php⽂件很简单,只是写上⼀⾏读取当前的HTTP_REFERER服务器值的代码即可,如下:
<?php
echo "<hr />";
echo $_SERVER["HTTP_REFERER"];
>
HTTP/1.1 200 OK Date: Fri, 04 Apr 2008 16:07:54 GMT Server: Apache/2.2.8 (Win32) PHP/5.2.5 X-Powered-By: PHP/5.2.5 Content-Length: 27 Connection: close Content-Type: text/html; charset=gb2312
看到了结果了吧,伪造来源HTTP_REFERER信息成功。所以,如果你的⽹站仅仅是判断HTTP_REFERER,并不是安全的,别⼈⼀样可以构造这样的来源,简单的防御⽅法就是验证页⾥加上验证码;还可以结合IP判断的⽅法。
补充:ASP下的伪造来源的代码如下:
<%
dim http
set ateobject("MSXML2.XMLHTTP") '//MSXML2.serverXMLHTTP也可以
Http.open "GET",url,false
Http.setRequestHeader "Referer","www.jb51/"
Http.send()
%>
如果你是⼀个有⼼⼈,请不要恶意利⽤这些⽅法,毕竟坏事做多了的话,效果就过犹不及了;⽐如你发⼤量的垃圾帖⼦吧,可能短期内会给你带来⼤量的外部链接,但这样的⿊帽⼿段迟早要被搜索引擎发现,⽽这些已经发出去的链接就好像泼出去的⽔⼀样收不回来,这样的罪证就不是你能控制的了。
希望本⽂所述对⼤家的php程序设计有所帮助。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。