http细节

最新推荐文章于 2023-12-16 20:42:40 发布
最新推荐文章于 2023-12-16 20:42:40 发布
阅读量424 收藏
点赞数
分类专栏: HTTP

X-Forwarded-For

通过名字就知道,X-Forwarded-For 是一个 HTTP 扩展头部。HTTP/1.1(RFC 2616)协议并没有对它的定义,它最开始是由 Squid 这个缓存代理软件引入,用来表示 HTTP 请求端真实 IP。如今它已经成为事实上的标准,被各大 HTTP 代理、负载均衡等转发服务广泛使用,并被写入 RFC 7239(Forwarded HTTP Extension)标准之中。

X-Forwarded-For 请求头格式非常简单,就这样:
X-Forwarded-For: client, proxy1, proxy2
可以看到,XFF 的内容由「英文逗号 + 空格」隔开的多个部分组成,最开始的是离服务端最远的设备 IP,然后是每一级代理设备的 IP。
如果一个 HTTP 请求到达服务器之前,经过了三个代理 Proxy1、Proxy2、Proxy3,IP 分别为 IP1、IP2、IP3,用户真实 IP 为 IP0,那么按照 XFF 标准,服务端最终会收到以下信息:
X-Forwarded-For: IP0, IP1, IP2
Proxy3 直连服务器,它会给 XFF 追加 IP2,表示它是在帮 Proxy2 转发请求。列表中并没有 IP3,IP3 可以在服务端通过 Remote Address 字段获得。我们知道 HTTP 连接基于 TCP 连接,HTTP 协议中没有 IP 的概念,Remote Address 来自 TCP 连接,表示与服务端建立 TCP 连接的设备 IP,在这个例子里就是 IP3。
Remote Address 无法伪造,因为建立 TCP 连接需要三次握手,如果伪造了源 IP,无法建立 TCP 连接,更不会有后面的 HTTP 请求。不同语言获取 Remote Address 的方式不一样,例如 php 是 $_SERVER["REMOTE_ADDR"],Node.js 是 req.connection.remoteAddress,但原理都一样。
山西茄子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用X-Forwarded-For进行sql注入
wqj975005563的专栏
06-06 4508
由于系统一般会采用String ip = request.getHeader("X-Forwarded-For");进行获取ip,然后注入者就可以通过X-Forwarded-For请求头信息就行伪造ip,当然了这个ip也可以是一些注入语句,如下X-Forwarded-For:payload';WAITFOR DELAY '0:0:5'--String sql = "select * from ta...
SQL注入:X-Forwarded-For注入
zh的博客
10-11 489
靶场地址:http://www.whalwl.host:8010/ 解题准备:本题需要使用burpsuite抓包 解题思路: 1、根据提示,直接抓包,添加X-Forwarded-For参数 a' 2、根据报错,确定闭合符为 ' 构造:a' order by 6# 5正常,6错误,确定字段数为5 3、构造联合查询,发现有2,3回显 4、获得user和database 5、后续注入通过联合查询可以很快获取flag ...
buuctf [极客大挑战 2019]Http1
weixin_61060664的博客
11-13 2431
buuctf刷题过程,我是菜鸡,有问题就是你对
[极客大挑战 2019]Http1新手入门教学
weixin_66112047的博客
11-05 438
BUUCTF 类型:请求头绕过 知识点:http请求头(Referer、X-Forwarded-For、User-Agent)
[极客大挑战 2019]Http1解题思路
Megumiwind的博客
08-08 4067
1.打开Burp suite输入靶机的网址进行抓包,并把抓到的包发送到repeater(重发器)当中 在重发器中先点击发送查看一下结果的网页源代码。 在源码当中发现在一个html语句,并且是a标签的跳转语句,而跳转的地点是secret.php <a style="border:none;cursor:default;" onclick="return false" href="Secret.php">氛围</a> 2.既然是秘密页面,我们当然要进去看一下到底是.
交互设计细节——搜索
03-04
关于推荐关键词放置位置的问题:推荐字在框下::普遍认为放在下面好一些,从版面美观度...(图为迅雷看看官网,http://www.xunlei.com/)(图为淘宝首页搜索,http://www.taobao.com/)(图为国美网上商城,http://www
封装http请求工具类
10-08
封装HTTP请求工具类的目的是提供一个简单的接口,使得开发者可以方便地发起HTTP请求,而无需关心底层实现的细节。以下是一个基本的HTTP请求工具类的设计思路: 1. **创建请求方法**:首先,我们需要为常见的HTTP...
HttpAnalyzer V7
03-22
HttpAnalyzer V7是一款强大的HTTP/HTTPS协议分析工具,主要用于帮助开发者和网络工程师深入理解网络通信过程,特别是HTTPHTTPS协议的交互细节。该工具的汉化版使得中国用户能够更方便地使用,避免了语言障碍,提升...
[极客大挑战 2019]Http1
qq_51979295的博客
09-21 497
http请求
[极客大挑战 2019]Http1(BUCTF在线评测)
邓霖涛的博客
08-10 2510
得到flag{8d8ea9d6-86ae-4f8d-8f8e-e10d4b1bd9ef}you can only read this locally!浏览器修改不了Referer的值,换工具抓包工具(修改浏览器代理到抓包工具)搜索下看看有没有别的链接,如标签,发现有两处a标签,特别是第二处。按提示修改请求头X-Forwarded-For:localhost。鼠标右键发送到重发器修改Referer的值,测试请求。页面a标签包裹的"氛围"二字,可以点击了。F12调试该页面,跟踪该get网络请求。......
[极客大挑战 2019]Http1 解题思路
最新发布
weixin_61970418的博客
12-16 676
又跳出提示,Please use"Syclover" browser,意思是需要使用Syclover这个浏览器,需要修改的字段为User-Agent。添加参数X-Forwarded-For:127.0.0.1,127.0.0.1就是本地访问的默认地址,发送后,flag就出来了。访问后出现如下界面,提示未从https://Sycsecret.buuoj.cn网站访问,直接burp抓包。修改UA头为Syclover后,再次提交,提示必须从本地访问。打开靶场后,有如下三个页面,浏览后没有任何功能点和输入点。
CTF练习:SQL注入之X-Forwarded-For报头
qq_43233085的博客
11-28 974
CTF练习:SQL注入之get参数注入环境准备信息收集漏洞挖掘sqlmap注入上传shell脚本(copy)拿到靶机shell(copy) 靶机地址: 链接: https://pan.baidu.com/s/1u-br8L4Lk4X7EGS7kROhMQ 提取码: 2fmj 环境准备 开启两台机器,一台靶机一台kali攻击机,配置好桥接网络,使其在同一网段内。 查看攻击机kali的IP,为172....
CTF-SQL注入-X-Forwarded-For报文头
whatiwhere的博客
12-02 1318
nmap -sV xxxxx nmap -T4 -A -v xxxx nikto -host http://192.168.173.134/ 发现了后台登陆地址,但弱口令无法登陆 使用awvs扫描 安全漏洞 高危漏洞 盲注 使用sqlmap进行 注入 sqlmap -u “http://192.168.176.134/” --headers=“X-Forwarded-For:*” -...
利用X-Forwarded-For伪造客户端IP漏洞成因及防范
热门推荐
叉叉哥的BLOG
10-15 6万+
问题背景 在Web应用开发中,经常会需要获取客户端IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。 如何获取客户端IP 在Java中,获取客户端IP最直接的方式就是使用request.getRemoteAddr()。这种方式能获取到连接服务器的客户端IP,在中间没有代理的情况下,的确是最简单有效的方式。但是目前互联网Web应用很少会将应用服务器直接对外提...
ctf训练 web安全SQL注入(X-Forwarded-For)
qq_43799246的博客
12-02 561
ctf训练 web安全SQL注入(X-Forwarded-For) SQL注入漏洞介绍 SQL注入攻击指用用户构建特殊的输入作为参数传入Web应用程序,通过执行sQ语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 任何一个用户可以输入的位置都可能是注入点。比如url中,以及http报文中; 实验环境 一台kail攻击机 和 靶机 靶机镜像:https://pan.baidu.com/s/1juB-vkfP9C7RHEM5T4ffAA 提取码:dquy 安
X-Forwarded-For注入漏洞实战
Language_Sumuzhe的博客
05-23 7622
题目:X-Forwarded-For注入漏洞实战 知识点: 是HTTP请求头中XFF的伪造和应用,是一道借用XFF来爆破数据库、表、列以及列值的题目。先输入账户为admin,密码为123456进行登录尝试,出现了弹窗,仔细观察弹窗会发现类似IP地址格式的112.111.12.126数据存在,猜测这是服务端记录并显示了客户端的IP地址。 首先了解服务端如何获取客户端请求IP地址? 服务端获取客户端请求IP地址,常见的包括:x-forwarded-for、client-ip等请求头,以及remote_add
HTTP头注入漏洞测试(X-Forwarded-for)
jeehoon的博客
11-15 717
用bp抓墨者任性网站的包,发送给repeater模块,自己填入X-Forwarded-For,然后判断是否可注入。 输入and 1=1发现没有报错,证明存在注入点 用order by判断表的数量 输入到5就报错了,说明只有4个表 构建语句union select 1,2,3,4 发现名称,价格,数量都对应这些数字 通过union select 1,2,3,(select group_conc...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值