私の友人は就職インタビューを受けていて、マルチチョイスの質問はほとんど聞かれませんでした。私はそのセッションは、あなたが(私をmainpulateことができないだけだと思います Cookieデータ、セッションデータ、リモートIP、ユーザエージェントクライアントの側で操作できるものはどれですか
:質問の一つは、クライアント側で操作することができ、それらの
ましたあなたはそれをハイジャックすることができますが、質問が示唆するようにデータを変更することはできません)
あなたはどう思いますか?
クッキーデータおよびユーザエージェントは、完全にクライアント提供可能であり、すなわち操作することができる。
IPアドレスは、(ローカルアクセスや技術的および組織的なノウハウを使って)なりすますことができますが、常に有効な形式、つまり決して任意の文字列ではありません。
セッションデータはサーバー自体によって管理され、操作することはできません。ただし、攻撃者は、別のユーザーのCookieを取得するなど、別のセッションに関連付けることができます。
クッキーデータとユーザーエージェントは、明らかに自由に操作できます。あなたは、セッションデータ自体を操作することはできないと述べたと同じように
すると、あなただけのセッションをハイジャックすることができ、セッションをユーザに関連付けるために使用クッキーを盗む、...
リモートIPは難しい呼び出しです。 httpはTCPに基づいているので、任意のリモートIPを偽造することはできません。プロキシを使用して実際のIPを隠すことができます。しかし、別のIPを偽装するには、そのIP宛てのパケットを受信できる必要があります。そして、あなたは通常、あなたがそのIPへのルートの一部である場合にのみそれを行うことができます。関連する古い質問Application Security Concerns: How easy is it to fake an IP-Address?
HTTPリクエストでX-Forwarded-For Headerを操作することもできます。あなたは基本的に任意のIPを使用することができ、いくつかのスクリプト/ウェブサイトは、これが実際にクライアントのIPであると信じます。このようにして、あなたは実際にあなたがlocalhost(127.0.0.1)であると言うことができ、iptablesでさえもリクエストをブロックすることはできません。なぜなら、本当のデスティネータのIPアドレスはインターネットからの有効なアドレスだからです。 (つまり、決してX-Forwarded-Forを信頼することはありません)。 – Matt3o12
@ Matt3o12私の答えでは、私はTCP/IPレベルのリモートIPについて話していました。 'X-Forwarded-For'は、信頼された(逆の)プロキシによって追加された場合には信頼されるべきです。そのためヘッダーが存在するかどうかをチェックし、ヘッダーが存在しない場合はデフォルトのIPが下位レベルのIPになっているかどうかを確認するコードがあります。信頼できるプロキシを持っているか、信頼できないプロキシがあります。 – CodesInChaos
@CodeslnChaso私はちょうどそれがプロキシを使用する "詐欺師"を防ぐことを試みることを使用したサイトを知っている:) – Matt3o12
クッキーデータ、セッションクッキー、IP、ユーザーエージェント – Ibu
真実は、あなたが十分に努力すれば何でも操作できます。しかし、99%の時間はクッキーデータとユーザエージェントだけです。 –