ASP,PHP与.NET伪造HTTP-REFERER方法及防止伪造REFERER方法探讨

HTTP-REFERER这个变量已经越来越不可靠了,完全就是可以伪造出来的东东。

以下是伪造方法:

ASP:

代码如下:

dim http  
set http=server.createobject("MSXML2.XMLHTTP") '//MSXML2.serverXMLHTTP也可以 
Http.open "GET",url,false  
Http.setRequestHeader "Referer","http://www.dc9.cn/"  
Http.send()

PHP(前提是装了curl):

代码如下:

$ch = curl_init(); 
curl_setopt ($ch, CURLOPT_URL, "http://www.dc9.cn/xxx.asp"); 
curl_setopt ($ch, CURLOPT_REFERER, "http://www.dc9.cn/"); 
curl_exec ($ch); 
curl_close ($ch);

PHP(不装curl用sock)

代码如下:

$server = 'www.dc9.cn'; 
$host    = 'www.dc9.cn'; 
$target  = '/xxx.asp'; 
$referer = 'http://www.dc9.cn/';    // Referer 
$port    = 80; 
$fp = fsockopen($server, $port, $errno, $errstr, 30); 
if (!$fp)  

   echo "$errstr ($errno)<br />\n"; 
}  
else  

        $out = "GET $target HTTP/1.1\r\n"; 
        $out .= "Host: $host\r\n"; 
        $out .= "Cookie: ASPSESSIONIDSQTBQSDA=DFCAPKLBBFICDAFMHNKIGKEG\r\n"; 
        $out .= "Referer: $referer\r\n"; 
        $out .= "Connection: Close\r\n\r\n"; 
        fwrite($fp, $out); 
        while (!feof($fp))  
        { 
                echo fgets($fp, 128); 
        } 
        fclose($fp); 
}

VB.NET/C#.NET

代码如下:

Dim oXMLHttp As MSXML2.XMLHTTP30 = New MSXML2.XMLHTTP30() 
或者 
MSXML2.XMLHTTP30 oXMLHttp = new MSXML2.XMLHTTP30(); 
oXMLHttp.open(.... 
oXMLHttp.setRequestHeader(... 
oXMLHttp.send(..

javascript

xmlHttp.setRequestHeader("Referer", "http://URL");//???呵呵~假的~
JS不支持^_^

原理都是sock构造http头来senddata。其他语言什么的比如perl也可以,

目前比较简单的防御伪造referer的方法是用验证码(Session)。

现在有一些能防盗链软件的商业公司比如UUDOG,linkgate,VirtualWall什么的,都是开发的应用于IIS上面的dll。
有的是采用cookies验证、线程控制,有的是能随机生成文件名然后做URL重写。有的方法能的确达到不错的效果.

不过道高一尺,魔高一丈,这些雕虫小技终归是有破解方法的。

(0)

相关推荐

  • ASP,PHP与.NET伪造HTTP-REFERER方法及防止伪造REFERER的方法

    HTTP-REFERER这个变量已经越来越不可靠了,完全就是可以伪造出来的东东. 以下是伪造方法: ASP/Visual Basic代码 dim http      set http=server.createobject("MSXML2.XMLHTTP") '//MSXML2.serverXMLHTTP也可以     Http.open "GET",url,false      Http.setRequestHeader "Referer",&

  • php中HTTP_REFERER函数用法实例

    本文实例分析了php中HTTP_REFERER函数用法.分享给大家供大家参考.具体分析如下: 利用php的http_referer函数来判断用户的来路,这是比较简单的,实例代码如下: 复制代码 代码如下: <?php    if (isset($_SERVER['HTTP_REFERER'])) {      print "The page you were on previously was {$_SERVER['HTTP_REFERER']}<br />";   

  • php中突破基于HTTP_REFERER的防盗链措施(stream_context_create)

    那么如果考虑突破防盗链的措施,就需要考虑在 HTTP_REFERER 上面做手脚了.PHP 脚本中对应的变量是 $_SERVER['HTTP_REFERER'] ,它存储了 HTTP_REFERER 的值. 由于直接访问目标 URL 资源已经被上述防盗链的措施给屏蔽,所以我们需要个类似网关的玩意去获取.说白了就是编写已经包装过的 HTTP 头的 PHP 脚本. 下面是简单的函数实现: 复制代码 代码如下: function getRemoteFile($url, $refer = '') { $

  • php 伪造HTTP_REFERER页面URL来源的三种方法

    php获取当前页面的前一个页面URL地址,即当前页面是从哪个页面链接过来的,可以使用$_SERVER['HTTP_REFERER'],但是这个来源页面的URL地址是可以被伪造和欺骗的,本文章向大家介绍伪造HTTP_REFERER页面URL的三种方法,需要的朋友可以参考一下. $_SERVER['HTTP_REFERER']是php用来判断页面上级来源页面的一个超级变局变量了,我们可以使用$_SERVER['HTTP_REFERER']来判断是从哪个页面进入到此页面了,这样我们可以进行更好的跟踪了

  • PHP伪造来源HTTP_REFERER的方法实例详解

    本文实例讲述了PHP伪造来源HTTP_REFERER的方法.分享给大家供大家参考.具体分析如下: 如今网络上十分流行论坛自动发帖机,自动顶贴机等,给众多论坛网站带来了大量的垃圾信息,许多网站只是简单地采用了判断HTTP_REFERER的值来进行过滤机器发帖,可是网页的HTTP_REFERER来路信息是可以被伪造的.任何事物都是双面刃,只要你善于利用就有其存在价值. 很早以前,下载软件如Flashget,迅雷等都可以伪造来路信息了,而这些软件的伪造HTTP_REFERER大多是基于底层的sock来

  • ASP,PHP与.NET伪造HTTP-REFERER方法及防止伪造REFERER方法探讨

    HTTP-REFERER这个变量已经越来越不可靠了,完全就是可以伪造出来的东东. 以下是伪造方法: ASP: 复制代码 代码如下: dim http   set http=server.createobject("MSXML2.XMLHTTP") '//MSXML2.serverXMLHTTP也可以  Http.open "GET",url,false   Http.setRequestHeader "Referer","http://

  • Asp.net开发之webform图片水印和图片验证码的实现方法

    Asp.net开发之webform图片水印和图片验证码的实现方法

    两者都需要引入命名空间:using System.Drawing; 一.图片水印 前台Photoshuiyin.aspx代码: <div> <asp:FileUpload ID="FileUpload1" runat="server" /> <asp:Button ID="Button1" runat="server" Text="上传" /><br /> &

  • asp.net实现在非MVC中使用Razor模板引擎的方法

    asp.net实现在非MVC中使用Razor模板引擎的方法

    本文实例讲述了asp.net实现在非MVC中使用Razor模板引擎的方法.分享给大家供大家参考.具体分析如下: 模板引擎介绍 Razor.Nvelocity.Vtemplate,Razor一般在MVC项目中使用,这里介绍在非MVC项目中的用法. 如何在非MVC中使用Razor模板引擎 借助于开源的RazorEngine,我们可以在非asp.net mvc项目中使用Razor引擎,甚至在控制台.WinForm项目中都可以使用Razor(自己开发代码生成器) 如何使用Razor 环境搭建: ① 添加

  • Asp.net程序优化js、css实现合并与压缩的方法

    本文实例讲述了Asp.net程序优化js.css实现合并与压缩的方法.分享给大家供大家参考.具体实现方法如下: 访问时将js和css压缩并且缓存在客户端, 采用的是Yahoo.Yui.Compressor组件来完成的,用户可以点击此处本站下载. 创建一个IHttpHandler来处理文件 复制代码 代码如下: public class CombineFiles : IHttpHandler {         private const string CacheKeyFormat = "_Cac

  • ASP.NET生成两个日期范围内随机时间的实现方法

    本文实例讲述了ASP.NET生成两个日期范围内随机时间的实现方法.分享给大家供大家参考.具体方法分析如下: 想网上找个生成随机天数的方法找不到,后面只得自己写了,贴给大家方便使用 思路:算两个日期的相差天数,然后在0到相差天数的范围内生成随机数,再用结束时间的天数部分减去这个随机数,代码: 复制代码 代码如下: /// <summary> /// (在两个时间范围内)生成随机日期 /// </summary> /// <param name="startime&qu

  • asp.net(c#)编程实现将彩色图片变灰阶图片的方法示例

    本文实例讲述了asp.net(c#)编程实现将彩色图片变灰阶图片的方法.分享给大家供大家参考,具体如下: 代码如下: using System; using System.Collections; using System.Configuration; using System.Data; using System.Linq; using System.Web; using System.Web.Security; using System.Web.UI; using System.Web.UI

  • asp.net(C#)中上传大文件的几中常见应用方法

    几种常见的方法,本文主要内容包括: 第一部分:首先我们来说一下如何解决ASP.net中的文件上传大小限制的问题,我们知道在默认情况下ASP.NET的文件上传大小限制为2M,一般情况下,我们可以采用更改Web.Config文件来自定义最大文件大小,如下: 这样上传文件的最大值就变成了4M,但这样并不能让我们无限的扩大 MaxRequestLength的值,因为ASP.NET会将全部文件载入内存后,再加以处理.解决的方法是利用隐含的 HttpWorkerRequest,用它的GetPreloaded

  • asp.net实现从Txt文件读取数据到数据视图的方法

    本文实例讲述了asp.net实现从Txt文件读取数据到数据视图的方法.分享给大家供大家参考,具体如下: #region 从Txt文件读取数据到数据视图 /// 从Txt文件读取数据到数据视图 /// </summary> /// <param name="strExcelPath">文件路径</param> /// <returns>返回一个数据视图</returns> public static DataView GetDa

随机推荐