题目描述中说道 xff 和 referer 是可以伪造的。而这道题中我们就来伪造这二者。
X-Forward-For(xff)是客户端连接到网页的ip,referer是客户从哪个网页来访问的当前页面。
打开 burp suite ,对网页抓包,发送给重发器(repeater)。
要求 ip 为123.123.123.123,就在请求中添加
X-Forwarded-For: 123.123.123.123
发送。
审查响应,发现要求客户从https://www.google.com发起请求。再次在请求中添加
referer: https://www.google.com
得到flag。
cyberpeace{90fe60da17eef83f0221379176933b8c}