Note: 這篇是下篇,還沒看過上篇的可以先看一下再回來這篇!
1. How to Attack & Defend
1.1. Post Exploitation - CF-Connecting-IP
還有另一種常見的問題,就是取得 IP 的實作方式所產生的漏洞。由於你的網站都是 CDN 的 Server 代替使用者送出請求,那你要怎麼取得使用者真實 IP 呢?這時 CDN 通常就會在 Request Header 中塞入一個自定義的 Header 來傳遞,原理與 Proxy 的 X-Forwarded-For
Header 差不多(有興趣的話,推薦延伸閱讀:如何正確的取得使用者 IP),例如 CF 就會使用 CF-Connecting-IP
這個 Header 來傳遞使用者 IP,我們就可以從這個 Header 中取得使用者的 IP。