PDA

View Full Version : سوال: موارد قابل جعل $_SERVER



Reza1607
چهارشنبه 13 دی 1391, 11:10 صبح
سلام
كسي مي دونه چه مواردي از $_SERVER قابل جعل هست

eshpilen
دوشنبه 25 دی 1391, 10:50 صبح
اونایی که اول اسمشون ‎HTTP_‎ داره چون از هدرهایی که از کلاینت ارسال میشن گرفته میشن، 100% قابل جعل هستن (*).
برای بقیه هم بستگی داره منظور از جعل دقیقا چی باشه.
بعضی از متغییرهای دیگر ‎$_SERVER‎ هم ممکنه بنا به هدف ما قابل جعل محسوب بشن.
مثلا REMOTE_ADDR به یک معنا قابل جعل نیست، چون چنان آدرسی واقعا وجود داره و درخواست از جانب اون آدرس IP ارسال شده (**)، ولی اون آدرس میتونه متعلق به یک پراکسی باشه و از این دیدگاه میتونیم بگیم ممکنه IP واقعی کلاینت نباشه. ولی بهرصورت آدرس یک ماشینی هست که واقعا وجود داره و درخواست رو به سرور ما ارسال کرده.

*: البته استثنایی که بنظرم میرسه HTTP_HOST است که بنا به دلایلی که دیگه توضیح نمیدم، در بیشتر موارد میشه گفت جعلی نیست (بهرصورت هم معمولا برنامه نویسها باهاش کاری ندارن).

**: مگر در حمله های خیلی پیشرفته و کمیاب، که معمولا از جانب حکومتها یا کسانی صورت میگیره که دسترسی کامل به کانال ارتباطی دارن.

mtchabok
دوشنبه 25 دی 1391, 13:33 عصر
سلام
بعضیها قابل جعل هستن که دوستمون گفتن ولی برخی دیگه ای از اندیس ها هم دارای حفره امنیتی هستن مثلا PHP_SELF