Trust _SERVER ['REMOTE_ADDR'] এ আস্থা রাখা কি নিরাপদ?

89

এটি বিশ্বাস করা কি নিরাপদ $_SERVER['REMOTE_ADDR']? এটির অনুরোধের শিরোনাম বা এরকম কোনও কিছু পরিবর্তন করে প্রতিস্থাপন করা যেতে পারে?

এরকম কিছু লেখা কি নিরাপদ?

if ($_SERVER['REMOTE_ADDR'] == '222.222.222.222') { // my ip address
    $grant_all_admin_rights = true;
}

php security ip-address

— সিলভার লাইট
সূত্র

4

বিদ্যমান উত্তরগুলিতে যুক্ত করা, এটি সর্বদা আপনার ঠিকানাতে অনুরোধ করা আইপি ঠিকানা হবে, তবে এর অর্থ এই নয় যে এটি সেই কম্পিউটারের আইপি ঠিকানা যা অনুরোধ শুরু করেছিল। যে কোনও সংখ্যক প্রক্সি সার্ভার হ'ল আপনার এবং শেষ ব্যবহারকারীর মধ্যে থাকতে পারে এবং আপনার নিকটতম একটি হল আপনার কাছে পাওয়া আইপি ঠিকানা।

— ড্যান গ্রোসম্যান

হ্যাঁ এটি নিরাপদ কারণ অন্য কৌশল বা কিছু প্রতারণার দ্বারা প্রতিস্থাপিত হতে পারে না। তবে নিশ্চিত করুন যে আপনি $ अनुदान_ সমস্ত_এডমিন_আরাইট ভেরিয়েবলের জন্য আরও চেক যুক্ত করেছেন।

— যুদা প্রবীরা

যে কোনও $ _SERVER ভেরিয়েবলটি স্পুফ করা যায় - যেমন কার্ল_সেটপ্ট ($ ch, CURLOPT_HTTPHEADER, অ্যারে ("REMOTE_ADDR: $ ip", "HTTP_X_FORWARDED_FOR: $ ip")); সুতরাং এটি পুরোপুরি প্রসঙ্গে নির্ভর করে: আক্রমণকারী যদি কোনও প্রতিক্রিয়ার প্রত্যাশা করে, তবে এটি $ আইপিতে ফিরে যাবে। যদি তারা প্রতিক্রিয়াটির বিষয়ে চিন্তা না করে তবে তারা অবশ্যই শিরোনামটি ছলছল করতে পারে। যদি এর পরিবর্তে শিরোনামের চেক পরে আপনার কোডটি বলে: "ওপেন_ট_উইডার_ টো_বাডগুইস ();" আপনার একটি সমস্যা হবে

— টিএমজি

4

@ টিএমজি আপনি $_SERVER['REMOTE_ADDR']এইচটিটিপি রিকোয়েস্ট শিরোনাম সেট করে ভেরিয়েবলটি ছল করতে পারবেন না । পিএইচপি সুপারগ্লোবেলে HTTP_কী তৈরি করার সময় সমস্ত HTTP অনুরোধ শিরোনামকে স্বয়ংক্রিয়ভাবে উপসর্গ করে $_SERVER।

— মিঃ হোয়েট

110

হ্যাঁ, এটি নিরাপদ। এটি টিসিপি সংযোগের উত্স আইপি এবং এইচটিটিপি শিরোনাম পরিবর্তন করে প্রতিস্থাপন করা যায় না।

আপনি যে বিষয়টি উদ্বিগ্ন হতে চাইতে পারেন তা হ'ল আপনি যদি কোনও বিপরীত প্রক্সিটির পিছনে থাকেন তবে সেই ক্ষেত্রে REMOTE_ADDR সর্বদা প্রক্সি সার্ভারের আইপি এবং ব্যবহারকারী আইপি এইচটিটিপি শিরোনামে সরবরাহ করা হবে (যেমন এক্স-ফরওয়ার্ড-ফর হিসাবে )। তবে সাধারণ ব্যবহারের ক্ষেত্রে REMOTE_ADDR পড়া ভাল।

— সাগি
সূত্র

4

আইপি অ্যাড্রেস স্পোফিং সম্পর্কে কী?

— আব্দুল

4

@ আবদুল যে লোকেরা এটি করতে পারে তারা হ'ল সাধারণত একই লোক যাদের আপনার বাক্সে শারীরিক অ্যাক্সেস রয়েছে। সুতরাং এটি সম্পর্কে অনেক চিন্তা করবেন না।

— বেহরোজ

4

@ অ্যাডডল আইপি স্পুফিং কেবলমাত্র একটি উপায় বার্তা প্রেরণ করতে পারে, আপনি নিজের আইপি স্পফ করতে পারবেন না এবং বিনিময়ে কোনও বার্তা পাবেন না।

4

ইন্টারনেট রাউটারগুলি রুট প্যাকেটের উত্স এবং গন্তব্য আইপি চেক করছে না? আমি সন্দেহ করি যে কোনও স্পোফযুক্ত প্যাকেট ইন্টারনেট নোড জুড়ে গন্তব্যে পৌঁছে যাবে।

— ভিক্টর জোরাস

57

$_SERVER['REMOTE_ADDR']টিসিপি সংযোগটি যে আইপি ঠিকানাটিতে এসেছিল তা হল। যদিও ইন্টারনেটে দ্বিপক্ষীয়ভাবে আইপি অ্যাড্রেসগুলি স্পুড করা সম্ভব (বিজিপি দিয়ে ফাউল রুটগুলি ঘোষণা করে), এই জাতীয় আক্রমণগুলি সম্ভবত চিহ্নিত আক্রমণকারীর কাছে পাওয়া যায় না এবং পাওয়া যায় - মূলত, আপনার আক্রমণকারীটির কোনও আইএসপি বা ক্যারিয়ারের নিয়ন্ত্রণ থাকতে হবে। টিসিপি (এখনও) এর বিরুদ্ধে কোনও কার্যকর দিকনির্দেশনামূলক স্পোফিং আক্রমণ নেই। দ্বি-নির্দেশমূলক আইপি স্পুফিং যদিও ল্যানের ক্ষেত্রে তুচ্ছ।

এও সচেতন থাকুন যে এটি আইপিভি 4 নয়, তবে একটি আইপিভি 6 ঠিকানা হতে পারে। আপনার বর্তমান চেক যে বিষয়ে জরিমানা, কিন্তু আপনি যদি পরীক্ষা হবে 1.2.3.4শুধুমাত্র ঘটে যে কোন জায়গায় মধ্যে $_SERVER['REMOTE_ADDR'], একটি আক্রমণকারী কেবল সাথে সংযোগ স্থাপন করতে পারে 2001:1234:5678::1.2.3.4।

সংক্ষেপে, সমালোচনামূলক (ব্যাংকিং / সামরিক / সম্ভাব্য ক্ষতি> 50.000 €) অ্যাপ্লিকেশন ব্যতীত অন্য কোনও কিছুর জন্য আপনি যদি স্থানীয় নেটওয়ার্কে আক্রমণকারীদের বাদ দিতে পারেন তবে আপনি দূরবর্তী আইপি ঠিকানাটি ব্যবহার করতে পারেন।

— ফিহাগ
সূত্র

4

আপনি ইন্টারনেট প্রোটোকল সম্পর্কে খুব অবহিত শব্দ।

— ব্রায়ান পিটারসন

@ ফিহাগ, $_SERVER['REMOTE_ADDR']টিসিপি সংযোগের আইপি ঠিকানাটি এসেছিল কিনা তা সম্পূর্ণ আপনার এসপিআইয়ের উপর নির্ভর করে।

— পেসিয়ার 21

ডাব্লুইইপি / ডাব্লুপিএ ডাব্লুএলএল-তে আক্রমণকারীটির পক্ষে আসল ক্লায়েন্টটিকে লাথি মারার পক্ষে এটি অপ্রয়োজনীয়, এবং এই আইপি ঠিকানার ফাঁকি দেওয়া - ডাব্লুইইপি এবং ডাব্লুপিএ দু'ই দুর্বলতা রয়েছে যা স্পুফিং you have been kicked off the wlanপ্যাকেটগুলি সঠিক সরঞ্জামগুলি তৈরি করা সহজ করে তোলে । গুগল WPA downgrade test, উদাহরণস্বরূপ

— hanshenrik

আইপি ঠিকানা টিসিপি স্তর নয় আইপি স্তর।

— ভিক্টর জোরাস

3

উপরে উল্লিখিত হিসাবে, এটি একেবারে নিরাপদ নয়। তবে এর অর্থ এই নয় যে আপনার এটি ব্যবহার করা উচিত নয়। প্রমাণীকরণের কয়েকটি অন্যান্য পদ্ধতির সাথে এটি একত্রিত করার বিষয়টি বিবেচনা করুন, উদাহরণস্বরূপ, কুকি মানগুলি পরীক্ষা করা।

— শ্রুতি
সূত্র

7

কোনও আইপি ঠিকানার ফাঁকি দেওয়ার পরে, http অনুরোধটি পরিবর্তন করা এবং ভুয়া কুকি প্রেরণা হ'ল একটি পিষ্টক ..... (বা কুকির একটি অংশ)

— উরি গোরেন

4

আপনি "একেবারে নিরাপদ নয়"

— জেক