现实应用中X-Forwarded-For字段被篡改常见吗

miaoxixi123

私有云架构，今天在态势感知上边看到了一条告警，一台虚机，内到外发起扫描，敏感路径和信息探测，告警详细信息中有X-Forwarded-For字段，有X-Forwarded-For字段就可以判断是客户的自主行为进行转发的吗？我百度搜了一下，说是X-Forwarded-For字段也是可以篡改的，我理解，就算有X-Forwarded-For字段，也不能说是客户的自主应为，但是我找其它老师确认，他们却说是客户的行为，判断依据是因为篡改X-Forwarded-For字段的恶意行为很少吗，所以说，我想问一下，平时这个行为多吗

kant777

这得实际情况具体分析吧，比如说是发现在用head方法嗅探，大概可能xff和x-read就是随机的，得结合实际情况做判断，也不是那么一定。

Y0gurt

这个要看场景有没有必要，比如对外的扫描需要绕过WAF封禁，就可以通过伪装XFF去尝试绕过，如果只是临时进行短时间的扫描动作，确实很少会伪装XFF，毕竟伪装也是要成本的