安全测试——XFF绕过

最新推荐文章于 2024-06-27 16:34:07 发布
最新推荐文章于 2024-06-27 16:34:07 发布
阅读量613 收藏 1
点赞数
文章标签: 安全性测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jin719/article/details/132998440
版权

一、应用背景

        X-Forwarded-For进行IP伪造,可以使用某IP访问后台

二、使用

        访问后台时使用BP抓取消息,然后在BP的Repeater重发器中,给请求加上字段:               X-Forwarded-For: 10.xx.xx.xx,然后发送请求,就模拟了使用该IP访问了后台页面

多喝奶茶嗷
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
bugku ctf 管理员系统 (伪造x-forwarded-for绕过服务器IP)
qq_42777804的博客
05-18 4508
随便输入 发现 ip禁止访问 与本地管理员联系登陆 我们查看源码 到最后发现 <!-- dGVzdDEyMw== --> 在线base64解密得到 test123 Username: admin Password:test123 发现居然还是不能提交 那么burp抓包 发给 repeater 发现了可以通...
CTF--基于X-Forwarded-For的IP地址伪造
MachineGunJoe666
04-15 1666
X-Forwarded-For以及其作用 一般的客户端(例如:浏览器)在发送HTTP请求时,并不会设置X-Forwarded-For头,当请求在到达第一个代理服务器时,代理服务器会在请求字段中加上X-Forwarded-For这个字段,并将其值设置为客户端的IP地址,后面如果还有更多的代理服务器,会依次将Ip地址追加到X-Forwarded-For这个字段中,最终当请求到达了Web应用服务器,应用会通过获取X-Forwarded-For头取出最左边的IP地址,即为客户端的真实IP地址。 如果客户端在发起
nginx X-Forwarded-For头伪造漏洞及防范
LOOPY_Y的博客
02-19 3460
X-Forwarded-For 作为 HTTP 请求的扩展头,在请求的过程中可以被直接的进行修改。本人讲述如何通过nginx的配置进行防范
构建安全的Web应用:防范XFF伪造攻击的策略与实践
最新发布
u013208623的博客
06-27 255
HTTP X-Forwarded-For(XFF)头部常用于识别通过HTTP代理或负载均衡器连接到Web服务器的客户端的原始IP地址。然而,XFF头部可以被伪造,攻击者可以利用这一点来隐藏其真实IP地址,进行恶意活动,如DDoS攻击、IP欺骗等。
Web应用程序漏洞-X-Forwarded-For注入
旺仔Sec&blog
07-20 2979
第二十八步,重新审阅刚刚获取os-shell时的日志,发现sqlmap在网站根目录下放置了一个tmpunjoh.php文件(文件名为随机,请注意),可以用于手动上传文件。可以看到,我们从X-Forwarded-For定义的内容,未经过筛选就执行了SQL语句用于查询该IP地址是否在白名单之内,且。第五步,一分钟后扫描结束,切换至Results标签页,可以看到/admin目录被扫描出来,推测该目录为管理员后台地址。第十六步,在BurpSuite中将X-Forwarded-For的值改为一个单引号(’)尝试。
利用X-Forwarded-For伪造客户端IP漏洞成因及防范
热门推荐
叉叉哥的BLOG
10-15 6万+
问题背景 在Web应用开发中,经常会需要获取客户端IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。 如何获取客户端IP 在Java中,获取客户端IP最直接的方式就是使用request.getRemoteAddr()。这种方式能获取到连接服务器的客户端IP,在中间没有代理的情况下,的确是最简单有效的方式。但是目前互联网Web应用很少会将应用服务器直接对外提...
enumXFF, 在转发的标头中绕过 403限制,正在枚举 ip.zip
09-18
enumXFF, 在转发的标头中绕过 403限制,正在枚举 ip 你需要做的就是从终端运行该工具,给出以下输入:尝试尝试的页面( http/https://website.com/page )被拒绝时得到的响应的内容长度你希望该工具通过 X-Forwarded-For 尝试的IP范围然后,该
X-Forwarded-For绕过服务器IP地址过滤
公众号shadow sock7
06-03 1万+
参考: http://www.jianshu.com/p/98c08956183d https://github.com/bl4de/ctf/blob/master/2017/nullcon_HackIM_2017/Web1.md看到一个CTF题中有一个与X-Forwarded-For有关的。 通过在HTTP头中设置X-Forwarded-For: 127.0.0.1在正常的TCP 通信中,是
伪造XFF绕过服务器IP过滤
weixin_34367845的博客
11-20 1236
IP伪造 TCP/IP层面的IP伪造很难实现,因为更改后很难实现正常的TCP通信,但在HTTP层面的伪造就显得很容易。可以通过伪造XFF头进行IP伪造 XFF字段 X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。通俗来说,就是浏览器访问网站的IP。一般格式: X-Forwarded-For:...
WEB安全-伪造X-Forwarded-For绕过服务器IP地址过滤
06-01 2万+
转自:http://www.jianshu.com/p/98c08956183d 在正常的TCP/IP 通信中,是可以伪造数据包来源 IP 的,但这会让发送出去的数据包返回到伪造的IP上,无法实现正常的通信。 实现TCP/IP层级别的伪造很难,因为很难实现正常的TCP连接;但是在应用层协议HTTP上的实现较容易,通过伪造IP,能欺骗多数服务器应用程序实现通信。对于绕过服务器的IP地址过
与上0xFF的意义.zip
06-05
当我们看到表达式"0xFF"时,它实际上是一个十六进制数,其二进制形式为11111111。结合"&"运算符,我们探讨的是C语言中的位操作部分,特别是按位与运算。 位操作在计算机科学中起着核心作用,因为计算机内部是以二...
串口测试接口协议文档 v1.3.11
08-08
《串口测试接口协议文档 v1.3.11》主要涵盖了串口通信中的各种测试接口协议,包括主控初始化配置、立即执行指令、USB串口查找验证、固件升级以及IDE模块查询等多个方面,旨在确保设备与软件之间的稳定、高效通信。...
MD5.rar_安全 实验
09-23
hexString.append(String.format("%02x", 0xFF & b)); } System.out.println("MD5 Hash: " + hexString.toString()); } } ``` 这段代码首先创建了一个`MessageDigest`实例,然后使用`digest()`方法计算输入字符...
http接口自动化测试框架实现
01-31
NG_COLOR = 0xff # 失败的颜色 NT_COLOR = 0xC0C0C0 # 未测试的颜色 # Excel表格中测试结果汇总显示位置 TESTTIME = [1, 14] TESTRESULT = [2, 14] class CreateExcel: def __init__(self, sFile, dtitleindex=3, ...
任意密码修改、XFF绕过及文件上传——【XCTF】bug writeup
Ve99tr’s Blog
10-03 1042
题目 XCTF攻防世界web题-bug 进入后为登入页面 注册账号 注册账号admin#并登录 点击Manage项,提示不是admin 看来需要admin账号登录 Findpwd 登出,并点击Findpwd(找回密码) 填写admin#账号信息 转到重置密码的界面 使用burpsuite抓包,修改admin#为admin,尝试修改admin的密码 因为前面的admin#信息已经绕过了检测,所...
Discuz!X 系列 HTTP_X_FORWARDED_FOR 绕过限制进行密码爆破
aixuan9365的博客
05-29 483
分析有个不对头的地方:http://wooyun.jozxing.cc/static/bugs/wooyun-2014-080211.html 后面再补 这个漏洞比较简单。 我们看到配置文件来。/include/common.inc.php 第86-94行。 if(getenv('HTTP_CLIENT_IP') && strcasecmp(geten...
数据库学习笔记8--XFF注入攻击、 sql注入绕过、base64注入攻击、二次注入攻击
qq_41759633的博客
08-08 1757
XFF注入攻击 通过burp suite抓取数据包内容,可以看到HTTP请求头中有一个头部参数X-Forwarded-for.X-Forwarded-for简称XFF头,它代表客户端真是IP,通过修改X-Forwarded-for的值可以伪造客户端IP,将X-Forwarded-for设置为127.0.0.1然后访问该URL,页面返回正常。将X-Forwarded-for设置为127.0.0.1’...
X-Forwarded-For伪造
weixin_30929295的博客
03-05 415
目录 需求 Python Code Burp Suite - Request XFF绕过原理 需求 绕过IP校验; Python Code import random import requests ip_address = ['125.92.32.88', ...
python xff
12-01
根据提供的两个引用,可以看出xff是十六进制数的表示方式,通常用于表示二进制数据中的字节。在Python中,可以使用`decode`函数将十六进制字符串转换为二进制数据。下面是两个例子: 1. 将十六进制字符串转换为二进制数据,并用空格分隔每个字节 ```python toSend = "FF F9 FF 00 00 FA FF F7 FF F4 FF F6 FF F7 FF F6 FF FD FF 05 00 03 00 06 00 05 00" result = ' '.join([x.decode('hex') for x in toSend.split()]) print(result) # 输出:b'\xff \xf9 \xff \x00 \x00 \xfa \xff \xf7 \xff \xf4 \xff \xf6 \xff \xf7 \xff \xf6 \xff \xfd \xff \x05 \x00 \x03 \x00 \x06 \x00 \x05 \x00' ``` 2. 将十六进制字符串中的空格去除,并将结果转换为二进制数据 ```python toSend = "FF F9 FF 00 00 FA FF F7 FF F4 FF F6 FF F7 FF F6 FF FD FF 05 00 03 00 06 00 05 00 04 00 06 00 06 00" result = toSend.replace(' ', '').decode('hex') print(result) # 输出:b'\xff\xf9\xff\x00\x00\xfa\xff\xf7\xff\xf4\xff\xf6\xff\xf7\xff\xf6\xff\xfd\xff\x05\x00\x03\x00\x06\x00\x05\x00\x04\x00\x06\x00\x06\x00' ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值