Gửi HTTP request giả mạo IP truy cập

Một số developer xử lý code để lấy IP của khách truy cập web site như sau:

Ưu tiên lấy tham số trên server HTTP_X_FORWARDED_FOR rồi đến HTTP_CLIENT_IP, và cuối cùng là REMOTE_ADDR

Tuy nhiên nếu lấy cứ lấy IP từ HTTP request mà không kiểm tra, chuẩn hóa IP thêm thì có thể bị tin tặc khai thác và tấn công.

Cụ thể tin tặc có thể gửi thêm header vào HTTP request để giả mạo IP truy cập của mình. Ví dụ dưới đây là lệnh sử dụng curl và truyền tham số tùy ý:
curl --header "X-Forwarded-For: 1.2.3.4" "http://www.foobar.com"
Trong trường hợp này nếu code trên foobar.com không xử lý cẩn thận thì IP trả về sẽ là 1.2.3.4
Hãy thử nghĩ đi, tin tặc có thể thay 1.2.3.4 thành "hi, i am an angel" đấy *__*

Traffic from English phrases: How can I spoof the sender IP address using curl?