01常见HTTP头注入参数

在介绍XFF注入之前，我们先来了解下常见的存在HTTP头注入的参数，如下图：

User-Agent：使得服务器能够识别客户使用的操作系统，浏览器版本等.（很多数据量大的网站中会记录客户使用的操作系统或浏览器版本等存入数据库中）

Cookie：网站为了辨别用户身份进行session跟踪，并储存在用户本地终端上的数据（通常经过加密）

X-Forwarded-For：简称XFF头，代表了HTTP的请求端真实的IP。它被认为是客户端通过HTTP代理或者负载均衡器连接到web服务端获取源ip地址的一个标准（通常一些网站的防注入功能会记录请求端真实IP地址并写入数据库或某文件[通过修改XXF头可以实现伪造IP]）。

Rerferer：浏览器向 WEB 服务器表明自己的页面来源。

Host：客户端指定自己想访问的 WEB服务器 的域名/IP 地址和端口号。

02XFF注入的概念

XFF，是X-Forwarded-for的缩写，属于 sql注入 的一种，该注入原理是通过修改X-Forwarded-for头对带入系统的dns进行sql注入，达到欺骗服务器执行恶意的SQL命令的效果，从而可以得到网站的数据库内容。

03XFF的危害

①数据库信息泄漏：数据库中存放的用户的隐私信息的泄露。

②网页篡改：通过操作数据库对特定网页进行篡改。

③网站被挂马，传播恶意软件：修改数据库一些字段的值，嵌入网马链接，进行挂马攻击。

④数据库被恶意操作： 数据库服务器 被攻击，数据库的 系统管理员 帐户被窜改。

⑤服务器被远程控制，被安装后门。经由数据库服务器提供的操作系统支持，让黑客得以修改或控制操作系统。

04XFF漏洞复现

1. 确定漏洞的存在

使用burpsuite工具进行抓包，并用Repeater模块对请求进行修改，分别修改X-Forwarded-For的值如下所示：

X-Forwarded-for: 127.0.0.1

X-Forwarded-for: 127.0.0.1’’

X-Forwarded-for: 127.0.0.1′ and 1=1#

X-Forwarded-for: 127.0.0.1′ and 1=2#

若访问的结果如上图所示，则说明存在SQL注入漏洞。

2. 判断查询字段数量

判断出字段数量是4。

3. 查询SQL语句插入位置

4. 查询当前数据库库名

查询出的当前数据库库名为aaa。

05

XFF注入PHP代码

06

防御方式

①过滤http头中的X-Forwarded-for header中的内容，不允许其插入敏感字符，过滤字符参考sql注入修复方案。

②过滤以下敏感字符

“net user”

“xp_cmdshell”

“add”

“exec master.dbo.xp_cmdshell”

“net localgroup administrators”

“select”

“count”

“Asc”

“ char ”

“mid”

“ ‘ ”

“ ：”

“ ” ”

“insert”

“delete from”

“drop table”

“update”

“truncate”

“from”

“ % ”