title:xff-referer
data:2020-09-22 22:35:00
author:hqqqqq
copyright:ture
题目描述
X老师告诉小宁其实xff和referer是可以伪造的。
xff-referer原理
X-Forwarded-For:简称 XFF 头,它代表客户端,也就是 HTTP 的请求端真实的 IP,只有在通 过了 HTTP 代理或者负载均衡服务器时才会添加该项
HTTP Referer 是 header 的一部分,当浏览器向 web 服务器发送请求的时候,一般会带上 Referer,告诉服务器我是从哪个页面链接过来的
解题思路
bp抓包伪造xff和referer
进靶场,提示ip只能是123.123.123.123,那么X-Forwarded-For就要设置为123.123.123.123
根据提示说必须来自谷歌,所以再加个referer
bp收到数据包乱码问题解决
字符设置为utf-8