现实应用中X-Forwarded-For字段被篡改常见吗
私有云架构,今天在态势感知上边看到了一条告警,一台虚机,内到外发起扫描,敏感路径和信息探测,告警详细信息中有X-Forwarded-For字段,有X-Forwarded-For字段就可以判断是客户的自主行为进行转发的吗?我百度搜了一下,说是X-Forwarded-For字段也是可以篡改的,我理解,就算有X-Forwarded-For字段,也不能说是客户的自主应为,但是我找其它老师确认,他们却说是客户的行为,判断依据是因为篡改X-Forwarded-For字段的恶意行为很少吗,所以说,我想问一下,平时这个行为多吗 这得实际情况具体分析吧,比如说是发现在用head方法嗅探,大概可能xff和x-read就是随机的,得结合实际情况做判断,也不是那么一定。 这个要看场景有没有必要,比如对外的扫描需要绕过WAF封禁,就可以通过伪装XFF去尝试绕过,如果只是临时进行短时间的扫描动作,确实很少会伪装XFF,毕竟伪装也是要成本的
页:
[1]