XXF(x-forwarded-for)

最新推荐文章于 2024-04-15 00:43:03 发布
最新推荐文章于 2024-04-15 00:43:03 发布
阅读量2.7k 收藏
点赞数
分类专栏: CTF-web 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gsumall04/article/details/131742340
版权

  • IP伪造

        TCP/IP层面的IP伪造很难实现,因为更改后很难实现正常的TCP通信,但在HTTP层面的伪造就显得很容易。可以通过伪造XFF头进行IP伪造

  • XFF字段

        X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。通俗来说,就是浏览器访问网站的IP。

一般格式:

X-Forwarded-For: client1, proxy1, proxy2, proxy3

左边第一个是浏览器IP,依次往右为第一个代理服务器IP,第二个,第三个(使用逗号+空格进行分割)

 伪造方式

  1. 通过firefox插件x-forwarded-for直接改造

  2. 用bp抓包,发送到repeater模块进行增加,修改(ps:referer也可以修改
    HTTP Referer是header的一部分    ,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。)

参考链接:

xff(x-forwarded-for)介绍,某些ctf题目中的利用_ctf x-forwarded-for_Aka快乐小病毒的博客-CSDN博客

sleepywin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctf之xff_referer伪造
qq_53106085的博客
10-17 3651
xff:xff 是http的拓展头部,作用是使Web服务器获取访问用户的IP真实地址(可伪造)。由于很多用户通过代理服务器进行访问,服务器只能获取代理服务器的IP地址,而xff的作用在于记录用户的真实IP,以及代理服务器的IP。格式为:X-Forwarded-For: 本机IP, 代理1IP, 代理2IP, 代理2IP referer:referer 是http的拓展头部,作用是记录当前请求页面的来源页面的地址。服务器使用referer确认访问来源,如果referer内容不符合要求,服务器可以拦截或者重定
X_Forward_For(XXF)获取用户IP
heshan307的专栏
07-11 3160
用户访问web server时,可能会经过多层proxy server,此时获取用户IP的方法: 1、用户访问链经过CDN:统一配置xxf模式,在web端获取到的XXF形式为:{用户IP(CDN_SRC_IP),proxy server1 IP,proxy server2 IP....} 2、不经过CDN:统一配置XXF模式,在web端获取到的XXF形式为:{proxy server IP..
X-Forwarded-For火狐插件
01-10
X-Forwarded-For火狐插件
渗透测试-XFF漏洞攻击原理及防御方案
最新发布
lza20001103的博客
04-15 1375
渗透测试-XFF漏洞攻击原理及防御方案
Bugku之网站被黑
金 帛的博客
03-21 3834
Bugku之WP
老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了
ngc2244的博客
04-08 8395
第一题 查看一个网页的代码一般如下: 右键: 此题右键无效,CTRL+U 哭了哭了 第一次提交框框错误 第二次提交cy....8e}终于成功 第二题: Robots 搜索引擎使用spider程序自动访问互联网上的网页并获取网页信息。spider在访问一个网站时,会首先会检查该网站的根域下是否有一个叫做robots.txt的纯文本文件。您可以在您的网站中创建一个纯文本文件robots.txt,在文件中声明该网站中不想被robot访问的部分或者指定搜索引...
Bugku之本地管理员
金 帛的博客
03-16 3004
BugkuWP
利用X-Forwarded-For伪造客户端IP漏洞成因及防范
叉叉哥的BLOG
10-15 6万+
问题背景 在Web应用开发中,经常会需要获取客户端IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。 如何获取客户端IP 在Java中,获取客户端IP最直接的方式就是使用request.getRemoteAddr()。这种方式能获取到连接服务器的客户端IP,在中间没有代理的情况下,的确是最简单有效的方式。但是目前互联网Web应用很少会将应用服务器直接对外提...
xff-referer伪造ip地址和域名
Be Smart
02-20 7077
layout: post title: “xff-referer伪造ip地址和域名” categories: [ctf] tags: [xff referer] 最新版的BurpSuite与以前版本不同,将raw headers hex这些二级导航栏去掉,改在了右侧显示,需要Add伪造ip和域名的时候,在该部分右侧底部有add按钮等老版功能,进行添加操作和其他老版功能 X-Forwarded-For 是一个 HTTP 扩展头部,主要是为了让 Web 服务器获取访问用户的真实 IP 地址。在代理转发及反
X-Forwarded-For伪造
m0_48867141的博客
03-14 3350
HTTP请求头中的X-Forwarded-For用来追踪请求的来源IP 应用案例:投票系统,防止刷票,需要限制一个IP只能投票一次 X-Forwarder-For 格式为 X-Forwarded-For: client1, proxy1, proxy2 X-Forwarder-For 包含多个IP地址,每个值通过逗号+空格分开,最左边(client1)是最原始客户端的IP地址,中间如果有多层代理,每一层代理会将连接它的客户端IP追加在X-Forwarded-For右边。 如果一个 HTT...
伪造XFF头绕过服务器IP过滤
weixin_34367845的博客
11-20 1204
IP伪造 TCP/IP层面的IP伪造很难实现,因为更改后很难实现正常的TCP通信,但在HTTP层面的伪造就显得很容易。可以通过伪造XFF头进行IP伪造 XFF字段 X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。通俗来说,就是浏览器访问网站的IP。一般格式: X-Forwarded-For:...
xf-adsk2018_x64
10-15
2018版AutoCAD加入了高分辨率4k支持,用户体验视觉效果会更好,但在网上找AutoCAD2018版的软件很难找,下载也非常慢,小编这里附上AutoCAD2018的64位简体中文破解版,还有注册,可以完美激活软件。
myeclipse-2019.4.7s破解文件.zip
07-09
myeclipse-2019.4.7破解,亲测有效 里面有详细的操作手顺,希望大家支持 好资源给大家共享
XXF.BaseService.DistributedCache-BSF-DistributedCache.zip
12-10
.net 分布式缓存中间件 方便实现缓存的分布式,集群,负载均衡,故障自动转移,并兼容多种缓存存储的分布式缓存中间件。 用于解决分布式架构中的分布式缓存环节。
SSMA for Oracle 6.0 带license
04-08
新鲜出炉 oracle 转 SQL Server工具: SSMA for Oracle.6.0.0.exe SSMA for Oracle.6.0.0.ExtPack.exe oracle-ssma.license
Keil5-STM32三个系列的芯片包
11-15
Keil5-MDK 的STM32芯片包 有 F1xx, F4xx, F7xx三个系列的芯片包
XFF漏洞利用([SWPUCTF 2021 新赛]Do_you_know_http)
热门推荐
Battery的博客
09-08 6万+
User-Agent:使得服务器能够识别客户使用的操作系统,浏览器版本等.(很多数据量大的网站中会记录客户使用的操作系统或浏览器版本等存入数据库中)Cookie:网站为了辨别用户身份进行session跟踪,并储存在用户本地终端上的数据(通常经过加密)X-Forwarded-For:简称XFF头,代表了HTTP的请求端真实的IP。
bugkuctf web 部分wp(自己看得懂)
LJW_wenjingli7的博客
12-15 2423
1.本地管理员 进入网址,查源码,异常的一串n,拉进度条看 == 是base64,解出test123 ,像密码。 这种未知的系统一般要爆破,随便填账号密码,连接代理,打开bp 右键发到repeater,去掉cookie请求,用XXF伪造请求IP,(能考虑到管理员可能是admin,直接省略改名)改user=admin,发送即可 **XXF: X-Forwarded-For:(HTTP的请求端真实的IP) 如题中的:X-Forwarded-For:127.0.0.1 XFF注入..
bugku:POST、头等舱、网站被黑、alert、你必须让他停下、本地管理员、bp
lulu001128的博客
03-01 1386
解题过程
proxy_set_header X-Real-IP $remote_addr; 和 proxy_set_header X-Forwarded-For $remote_addr; 这个因该放在哪里才能防止xxf
07-25
为了防止XFF(X-Forwarded-For)伪造攻击,你需要将 `proxy_set_header X-Real-IP $remote_addr;` 和 `proxy_set_header X-Forwarded-For $remote_addr;` 这两行配置添加到代理服务器的 `location` 块中。 根据你的配置文件,你需要将这两行配置添加到以下两个位置: 1. 在 `server` 块中的 `location /` 配置下: ```nginx location / { root html; index index.html index.htm; client_max_body_size 1024m; proxy_pass http://127.0.0.1:8000/; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $remote_addr; proxy_ssl_server_name on; proxy_ssl_session_reuse off; } ``` 2. 在 `server` 块中的 `location /robots.txt` 和 `location /sitemap.xml` 配置下: ```nginx location /robots.txt { root /data/xqh/lztech/; autoindex on; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $remote_addr; } location /sitemap.xml { root /data/xqh/lztech; autoindex on; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $remote_addr; } ``` 这样配置后,Nginx 会将客户端的真实IP地址传递给后端服务器,以防止XFF伪造攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值