http header题总结
标签(空格分隔): http ctf web
登入题目给的网址发现直接显示的 Forbidden
, 但查看浏览器网络监视器发现实际上服务器返回的代码是200。
1、查看网页源码发现注释 必须从本机登陆
,则考虑伪造请求头(header)
X-Forwarded-For(XFF头)
是用来识别通过HTTP代理或负载均衡方式连接到web服务器的客户端最原始的IP地址的http字段
常用此字段实现伪造ip地址的目的
使用burp suite的proxy或repeater在请求头中加入x-forwarded-for:localhost
2、网页源码注释变为了用域名登陆
将host:
字段的ip地址改成网页上给出的域名
3、网页源码注释变为了从百度跳转登陆
referer
字段用于向服务器发送请求时告诉服务器我是从哪个页面链接过来的
加入referer:www.baidu.com
referer
的正确英语拼法是referrer 由于早期http规范的拼写错误,为了保持向后兼容就将错就错了,但也有新的网络技术纠正此问题,所以拼法不