### 简要描述:
据说可以让名字或ID,永久驻留wdcp的手册里
### 详细说明:
*本漏洞台词方法灵感等(部分or均)来自
```
ksc
```
前辈某个漏洞的描述*
*(=感觉我厚脸皮呀=)*
*我不知道要不要这样说明一下噢,如果不需要的话,管理大大删掉这三段呗*
获取用户ip的时候 使用了信息 X-Forwarded-For
假如仅仅是提示用户的地方使用的此信息,则问题不是很严重
若其他地方有基于ip地址做安全校验的地方就修改下代码吧
首先,在一些改X-Forwarded-For的插件里面,改自己想要的IP,比如9.9.9.9
[<img src="https://images.seebug.org/upload/201502/25230331e7d7473ff605156cc6239e505f80c21b.png" alt="QQ截图20150225225833.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/25230331e7d7473ff605156cc6239e505f80c21b.png)
然后登录
[<img src="https://images.seebug.org/upload/201502/25230420966cc94d847540d89745f85455d52231.png" alt="QQ截图20150225230451.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/25230420966cc94d847540d89745f85455d52231.png)
### 漏洞证明:
[<img src="https://images.seebug.org/upload/201502/25230501f0170c789b94984379fb6fb6c9498615.png" alt="QQ截图20150225225916.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/25230501f0170c789b94984379fb6fb6c9498615.png)
京公网安备 11010502034610号
暂无评论