菜单 搜索
首页 前端知识 url欺诈--HTML5无刷修改url

url欺诈--HTML5无刷修改url

2024-05-13 11:05:22 前端知识 前端哥 72 239 我要收藏

 window.history.pushState({},0,'http://'+window.location.host+'/'+url); 

url--要修改的网址

a标签欺诈
<script>
window.onclick = function(){        //触发单击事件,修改链接
   document.links[0].setAttribute('href','http://google.com');
}
</script>

URL域名欺骗
Http://www.sohu.com@www.baidu.com  实际访问Http://baidu.com

http://www.microsoft.com&item=q209354@www.baidu.com  实际访问Http://baidu.com

http://www.microsoft.com&item=q209354@110   实际访问域名为:http://0.0.0.110/ 的网址,每个域名都可以转换为十进制的IP地址
数字用这个欺诈更爽

摘要原文:http://wiki.gimoo.net/art/11_14517.html

 

<!DOCTYPE html> <html>     <head>         <meta charset="utf-8" />         <title>HTML5无刷修改url - 琼台博客</title>         <script type="text/javascript">             function changeURL(){                 var url = document.getElementById('url').value;                 window.history.pushState({},0,'http://'+window.location.host+'/'+url);                   }           </script>      </head>     <body>         <h1>html5无刷新改变url</h1>         <div id="info" style="margin:30px 0;">             页面真实地址:             <span style="color:red;"><script type="text/javascript">document.write(window.location.href);</script></span>         </div>         <div>         请输入要改变地URL字符串:<input id='url' type="text" />         <button οnclick="changeURL();">点击无刷改变url</button>         </div>         <div style="color:red;margin-top:30px;">请使用支持html5的浏览器访问</div>         <div style="margin-top:30px;"><a href="http://www.qttc.net/201303292.html" target="_blank">《html5无刷新改变URL》</a> - 琼台博客</div>     </body>   </html>

 测试可用
URL缺陷:当前 URL 的同一个域或源中的相对或绝对 URL。 


文章地址:http://www.qttc.net/201303292.html 

IP,来源,欺骗

test2.php
 <?php echo ' <meta charset="UTF-8">'; function GetIP() {     if (!empty($_SERVER["HTTP_CLIENT_IP"]))         $cip = $_SERVER["HTTP_CLIENT_IP"];     else if (!empty($_SERVER["HTTP_X_FORWARDED_FOR"]))         $cip = $_SERVER["HTTP_X_FORWARDED_FOR"];     else if (!empty($_SERVER["REMOTE_ADDR"]))         $cip = $_SERVER["REMOTE_ADDR"];     else         $cip = "无法获取!";     return $cip; } echo "<br>访问IP: " . GetIP() . "<br>"; echo "<br>访问来路: " . $_SERVER["HTTP_REFERER"]; //         echo "<br/>".$_SERVER['HTTP_REFERER'];

?>

由test1.php访问test2.php
在test2.php中显示来源 

未伪造时ip和访问链接

伪造HTTP_REFERER 

//test1.php,在已拥有test2.php文件的情况下访问test1.php
//方法1
<?php
function curl_post($url){      $ch = curl_init();      curl_setopt($ch, CURLOPT_URL, $url);      //curl_setopt($ch, CURLOPT_HTTPHEADER, $headerArr);  //构造IP       curl_setopt($ch, CURLOPT_REFERER, 'http://www.google.com');       $output = curl_exec($ch);      curl_close($ch);      return $output; } var_dump(curl_post("http://test.com/test2.php")); ?>
//方法2
<?php $opts = array(   'http'=>array(     'method'=>"GET",     'header'=>"Referer: http://www.google.com@123"   ) ); $context = stream_context_create($opts); // Open the file using the HTTP headers set above var_dump(file_get_contents('http://test.com/test2.php', false, $context));
?> 

运行结果


IP伪造 
  function curl_post($url){     $headers =ARRAY('X-FORWARDED-FOR:9.8.8.8');//代理IP      $ch = curl_init();      curl_setopt($ch, CURLOPT_URL, $url);      curl_setopt($ch, CURLOPT_REFERER, 'http://www.google.com'); //伪造网址      curl_setopt($ch, CURLOPT_HTTPHEADER, $headers);  //构造 代理IP      $output = curl_exec($ch);      curl_close($ch);      return $output; }
var_dump(curl_post("http://test.com/test2.php"));

运行结果:


 

"X-FORWARDED-FOR" 是代理服务器通过 HTTP Headers 提供的客户端IP。代理服务器可以伪造任何IP。

要防止伪造,不要读这个IP即可(同时告诉用户不要用HTTP 代理)。

如果是PHP,$_SERVER['REMOTE_ADDR'] 就是跟你服务器直接连接的IP

echo "<br/>真实IP:".$_SERVER['REMOTE_ADDR']; 

所以呢!还的找个替换这真是ip的办法

友情建议,入侵他人计算机,有他人计算机发出请求,获取数据,在由中转数据到该去的地方



 



 

 



 

转载请注明出处或者链接地址:https://www.qianduange.cn//article/8591.html
标签
上一篇:HTML基本结构及基本标签
评论
相关文章

前端哥

前端哥

发布的文章

1、SpringBoot简介及返回json

2024-05-25 09:05:17

【报错】unexpected non-whitespace character after JSON

2024-05-25 09:05:12

mysql 的jsonTable使用

2024-05-25 09:05:41

MySQL中的JSON

2024-05-25 09:05:32

【MySQL】导入 JSONL 数据到 MySQL数据库

2024-05-25 09:05:32

python如何保存 JSON 文件中的字段为双引号,中文不转义

2024-05-25 09:05:32

JSON简介(1)

2024-05-25 09:05:22

vue2中的watch(侦听器)讲解,以及解决深度监听新值和旧值相同的两种方案(手写深拷贝和JSON.parse())。

2024-05-25 09:05:15

Ubuntu20.04如何安装/更新node和npm?(解决版本不匹配问题)

2024-05-25 09:05:13

解决npm ERR! code CERT_HAS_EXPIRED npm ERR! errno CERT_HAS_EXPIRED npm ERR! request to https://regi问题

2024-05-25 09:05:13

大家推荐的文章
1

VUE3 Vite Pinia TypeScript项目笔记

2024-05-20 14:05:191000
2

轻松掌握数据库中JSON数据提取:json_extract函数用法详解

2024-05-09 11:05:011000
3

HTML5(六)——Canvas 高级操作

2024-05-09 10:05:191000
4

UE4.27支持HTML5

2024-05-07 13:05:261000
5

前端vue项目使用Decimal.js做加减乘除求余运算

2024-04-23 21:04:401000
6

js数组常用方法(19种)|你会的到底有多少呢?

2024-04-08 11:04:211000
7

jQuery事件处理

2024-03-12 01:03:321000
8

【Echarts系列】—— 实现电池图、3D立体圆形柱状图

2024-03-03 11:03:011000
9

ECharts 饼状图颜色设置

2024-02-16 14:02:001000
10

echarts实现动态渲染多柱图

2024-02-12 14:02:341000

rss订阅 百度xml 谷歌xml 搜狗xml soxml 神马搜索xml 网站地图

Copyright © 2018-2022 前端哥 陕ICP备2023000550号-1 前端哥

讲个笑话:程序员心理活动:看别人的代码,这都写得什么玩意儿,垃圾!!看自己一个月前的代码:这TM谁写得代码,垃圾!再一看,这代码怎么这么眼熟?我自己写得?仔细一看,卧槽!还TM的真是我自己写的!!

前端技术交流源码工具分享网站

会员中心 联系我 留言建议 回顶部
复制成功!