特定配置下的雷池WAF攻击IP欺骗 medasz 2024-07-25 安全 最近用到了雷池WAF,感觉很厉害,也非常的流行。 由于本地是通过nginx做了反向代理,所以没法通过从网络连接中获取的方式直接获取攻击IP,需要通过请求头中加代理header头获取。 这种情况下,就可以通过在请求头中自定义添加header头部:X-Forwarded-For: 127.0.0.1达到攻击IP的欺骗效果。 例如: 防护方式: 自定义一个不常用的header存储代理过程中的IP地址,无法让攻击者进行猜解的目的。 在边界处