Bonjour,
Je souhaite tester mon script antibrute force.
Il fonctionne comme ceci:
si nombreuses requetes dans un cours laps de temps avec la même ip, je bannis l'ip.
Donc si l'attaquant flood en utilisant un proxy, ce sera l'ip du proxy qui sera banni, et il lui faudra utiliser un autre proxy. Peu importe les valeurs renvoyées par FORWARDER_FOR ou VIA etc..., je ne regarde que REMOTE_ADDR.
Maintenant si je considère que l'attaquant n'utilise pas de proxy, comment peut-il bypasser mon antibruteforce?
Peut-on modifier (avec une en-tête http ou autre) la valeur de $_SERVER[REMOTE_ADDR renvoyé par mon serveur?
Ou bien est-il obligé de forger lui-même ses paquets ip? Au risque de ne pas recevoir de réponse du serveur.
Merci
Partager