攻防世界-web xff_Referer

最新推荐文章于 2024-03-02 17:01:15 发布
最新推荐文章于 2024-03-02 17:01:15 发布
阅读量1.9k 收藏 17
点赞数 4
分类专栏: X-CTF 文章标签: http web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53533553/article/details/120241873
版权

xff_Referer

扩展

xff

Romote Address

xff简称X-Forwarded-For

X-Forwarded-For 是一个 HTTP 扩展头部,是用来识别通过HTTP代理,或,负载均衡方式,连接到Web服务器的客户端最原始的IP地址,的HTTP请求头字段。

主要是为了让 Web 服务器获取访问用户的真实 IP 地址

那为什么 Web 服务器只有通过 X-Forwarded-For 头才能获取真实的 IP?

Remote Address代表的是当前HTTP请求的远程地址,即HTTP请求的源地址。HTTP协议在三次握手时使用的就是这个Remote Address地址,在发送响应报文时也是使用这个Remote Address地址。其获取到的 IP 是 Web 服务器 TCP 连接的 IP。因此,如果请求者伪造Remote Address地址,他将无法收到HTTP的响应报文,此时伪造没有任何意义。这也就使得Remote Address默认具有防篡改的功能。

但是很多用户都通过代理来访问服务器的,那么此时获取到的 IP 就是代理服务器的 IP(不是用户的)。

那么看看一个请求可能经过的路径:

客户端=>(正向代理=>透明代理=>服务器反向代理=>)Web服务器

  • 正向代理:很多企业会在自己的出口网关上设置代理(主要是为了加速和节省流量)。
  • 透明代理:可能是用户自己设置的代理(比如为了翻墙,这样也绕开了公司的正向代理)。
  • 服务器反向代理:是部署在 Web 服务器前面的,主要原因是为了负载均衡和安全考虑。

现在假设几种情况:

  • 假如客户端直接连接 Web 服务器(假设 Web 服务器有公网地址),则获取到的是客户端的真实 IP
  • 假设 Web 服务器前部署了反向代理(比如 Nginx),则获取到的是反向代理设备的 IP(Nginx)。
  • 假设客户端通过正向代理直接连接 Web 服务器(假设 Web 服务器有公网地址),则获取到的正向代理设备的 IP

那么由此可见,因为有了各种代理,才会导致Romote Address获取的IP产生了一定的歧义,为了让 Web 服务器获取到真实的客户端 IP。
X-Forwarded-For 出现了

X-Forwarded-For

这个协议头的格式:X-Forwarded-For: client, proxy1, proxy2

client 表示用户的真实 IP,每经过一次代理服务器,代理服务器会在这个头增加用户的 IP。
注意最后一个代理服务器请求 Web 服务器的时候是不会将自己的 IP 附加到 X-Forwarded-For 头上的,最后一个代理服务器的 IP 地址应该通过Romote Address获取。

举个例子:
如果一个 HTTP 请求到达服务器之前,经过了三个代理 Proxy1、Proxy2、Proxy3,IP 分别为 IP1、IP2、IP3,用户真实 IP 为 IP0,那么按照 XFF 标准,服务端最终会收到以下信息:

X-Forwarded-For: IP0, IP1, IP2

Proxy3 直连服务器,它会给 XFF 追加 IP2,表示它是在帮 Proxy2 转发请求。列表中并没有 IP3,IP3 可以在服务端通过 Remote Address 字段获得

通过 X-Forwarded-For 就能获取到用户的真实 IP,是不是万事大吉了?

伪造X-Forwarded-For

通常可以直接通过修改http头中的X-Forwarded-For字段来仿造请求的最终ip!!!

Burp Repeater 是一个手动修改并补发个别 HTTP 请求,并分析他们的响应的工具。

X-Forwarded-For 安全性

那么很多同学会说,通过 X-Forwarded-For 就能获取到用户的真实 IP,是不是万事大吉了,对于 Web 服务器来说,安全有两个纬度,第一个纬度是 REMOTE_ADDR 这个头,这个头不能伪造。第二个纬度就是 X-Forwarded-For,但是这个头是可以伪造的。

那么谁在伪造呢?,我们分别看下:

  • 正向代理一般是公司加速使用的,假如没有特殊的目的,不应该传递 X-Forwarded-For 头,因为它的上层连接是内部 IP,不应该暴露出去,当然它也可以透明的传递这个头的值(而这个值用户可以伪造)。

  • 透明代理,这个可能是用户自己搭建的(比如翻墙),而且在一个用户的请求中,可能有多个透明代理,这时候透明代理就抓瞎了,为了让自己尽量的正确,也会透明的传递这个头的值(而这个值用户可以伪造),当然一些不法企业或者人员,为了一些目的,会改下这个头的值(比如来自世界各地的 IP 地址)。

  • 反向代理,Web 服务器前的反向代理服务器是不会伪造的(同一个公司的),一般会原样传递这个头的值。

那么对应用程序来说,既然这个值不能完全相信,该怎么办呢?这取决于应用的性质:

假如提供的服务可能就是一些非机密服务,也不需要知道用户的真实 IP,那么建议应用程序或者 Web 服务器对 romote address 做一些限制,比如进行限速等等,也可以放行一些白名单的代理 IP,但是这些白名单 IP 就太难衡量了。

假设你的服务很重要,比如抽奖(一个 IP 只能一次抽奖),这时候你可能想通过 X-Forwarded-For 来获取用户的真实 IP(假如使用 REMOTE_ADDR 则会误杀一片),但是由于 X-Forwarded-For 可能会伪造,所以其实并没有什么好的办法,只能在应用层进行处理了。

xff

Referer

HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的
Referer,表示页面的来源。当浏览器(或者模拟浏览器行为)向web 服务器发送请求的时候,头信息里有包含 Referer 。

比如我在www.google.com 里有一个www.baidu.com 链接,那么点击这个www.baidu.com ,它的header 信息里就有:Referer=http://www.google.com

由此可以看出来吧。它就是表示一个来源。看下图的一个请求的 Referer 信息。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BqG2lc7B-1631359071673)(_v_images/20210129154454523_5269.png)]

referer的作用
1.防盗链。

刚刚前面有提到一个小 Demo 。

我在www.google.com 里有一个www.baidu.com 链接,那么点击这个www.baidu.com, 它的header信息里就有:
Referer=http://www.google.com

那么可以利用这个来防止盗链了,比如我只允许我自己的网站访问我自己的图片服务器,那我的域名是www.google.com, 那么图片服务器每次取到Referer来判断一下是不是我自己的域名www.google.com, 如果是就继续访问,不是就拦截。

将这个http请求发给服务器后,如果服务器要求必须是某个地址或者某几个地址才能访问,而你发送的referer不符合他的要求,就会拦截或者跳转到他要求的地址,然后再通过这个地址进行访问。

2.统计网站流量

统计文章有多少次是来自谷歌搜索结果,多少次来自百度搜索结果等。
比如从我主页上链接到一个朋友那里,他的服务器就能够从HTTP Referer中统计出每天有多少用户通过点击我主页上的链接访问他的网站。

3.防止恶意请求。

比如静态请求是*.html结尾的,动态请求是*.shtml,那么由此可以这么用,所有的动态请求,其Referer 必须 为我自己的网站。

Referer同样是不可信的!!!

空Referer

空Referer是怎么回事?什么情况下会出现Referer?
首先,我们对空 Referer 的定义为, Referer 头部的内容为空,或者,一个 HTTP 请求中根本不包含 Referer 头部。

那么什么时候 HTTP 请求会不包含 Referer 字段呢?根据Referer的定义,它的作用是指示一个请求是从哪里链接过来,那么当一个请求并不是由链接触发产生的,那么自然也就不需要指定这个请求的链接来源。

比如,直接在浏览器的地址栏中输入一个资源的URL地址,那么这种请求是不会包含 Referer 字段的,因为这是一个“凭空产生”的 HTTP 请求,并不是从一个地方链接过去的。

那么在防盗链设置中,允许空Referer和不允许空Referer有什么区别?
允许 Referer 为空,意味着你允许比如浏览器直接访问,就是空。

xff和referer区别

x-forwarded-for 和 referer的区别: x-forwarded-for 用来证明ip的像是“127.0.0.1”这种,而referer是用来证明“域名”的

XFF构造来源IP 例如127.0.0.1

Refer构造来源浏览器 例如https://www.google.com

origin

  1. Host
    描述请求将被发送的目的地,包括,且仅仅包括域名和端口号
    在任何类型请求中,request都会包含此header信息。

  2. Origin
    用来说明请求从哪里发起的,包括,且仅仅包括协议和域名。
    这个参数一般只存在于CORS跨域请求中,可以看到response有对应的header:Access-Control-Allow-Origin。

  3. Referer
    告知服务器请求的原始资源的URI,其用于所有类型的请求,并且包括:协议+域名+查询参数(注意,不包含锚点信息)。
    因为原始的URI中的查询参数可能包含ID或密码等敏感信息,如果写入referer,则可能导致信息泄露。

  • origin主要是用来说明最初请求是从哪里发起的;

  • origin只用于Post请求,而Referer则用于所有类型的请求;

  • origin的方式比Referer更安全点吧。

攻略

burpsuite抓取页面,发送至repeater,在消息头中添加x-forwarded-for:123.123.123.123

Burp Repeater 是一个手动修改并补发个别 HTTP 请求,并分析他们的响应的工具。

response中提示.innerHTML=“必须来自https://www.google.com”;

在已添加x-forwarded-for:的基础上,继续添加Referer:https://www.google.com,发送请求,response中得到flag。

并分析他们的响应的工具。

response中提示.innerHTML=“必须来自https://www.google.com”;

在已添加x-forwarded-for:的基础上,继续添加Referer:https://www.google.com,发送请求,response中得到flag。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Sgr9u9NZ-1631359071675)(_v_images/20210113213212011_478.png)]

Quase7
关注
  • 4
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【实验39】1602液晶显示数字0-0xFF.zip源码arduino例程源码GL9例程源代码
05-09
【实验39】1602液晶显示数字0-0xFF.zip源码arduino例程源码GL9例程源代码【实验39】1602液晶显示数字0-0xFF.zip源码arduino例程源码GL9例程源代码【实验39】1602液晶显示数字0-0xFF.zip源码arduino例程源码GL9例程源代码【实验39】1602液晶显示数字0-0xFF.zip源码arduino例程源码GL9例程源代码 1.合个人学习技术做项目参考合个人学习技术做项目参考 2.适合学生做毕业设计项目参考适合学生做毕业设计项目技术参考 3.适合小团队开发项目技术参考适合小团队开发项目技术参考
攻防世界-wp-WEB-新手区-9-xff_referer
Scorpio_m7
07-19 340
题目来源: Cyberpeace-n3k0 题目描述: X老师告诉小宁其实xffreferer是可以伪造的。 题目场景: 111.200.241.244:56031 题目思路: 本题是考察的HTTP头的伪装修改 X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项 HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来
CTF做题笔记--XFF——Referer
最新发布
Hasur的博客
03-02 281
当然,在进行xff伪造的时候,我们使用的是X-Forwarded-For这个词语,而不是直接xff,缩写不能直接用,referer是可以直接使用的。这道题目主要是考察对burpsuite的使用,需要将截下来的包发送到Repeater,在里面伪造xff以及referer的请求。讲完这些再来谈谈这道题是怎么实现的,在我们进入主页面的时候,出现下图所示的界面。(这里需要注意的是千万别把这段话放在最后面,不然在send的时候会发现跑不了)referer的作用则是告诉服务器网页是从哪个页面页面链接过来的zh。
ignore_0xff.rar_scale
09-14
File: sf_estim.h Content: Scale factor estimation functions.
canny代码matlab-image_processing:数字图像处理
05-20
canny代码matlab image_processing digital image processing 阈值处理 retval,otsu = cv2.threshold(grayscales,125,255,cv2.THRESH_BINARY+cv2.THRESH_OTSU) 读取摄像头 cap = cv2.VideoCapture(0) #打开电脑的摄像头 cap.set(10,100) while True: success,img = cap.read() cv2.imshow('video',img) if cv2.waitKey(1) & 0xFF == ord('q'): #按q退出 break 灰度函数 imgGrey = cv2.cvtColor(img,cv2.COLOR_BGR2GRAY) or img = cv2.imread(filaname,cv2.IMREAD_GRAYSCALE) 高斯模糊 imgBlur = cv2.GaussianBlur(imgGrey,(7,7),0) ##kernel需要为奇数 边缘函数 imgCanny = cv2.Ca
与上0xFF的意义.zip
06-05
有些人,不太懂,C语言中为什么出现“&0xFF”,它存在的意义是什么,是补零?不会,他只是按位与,没有补零的功效,那到底是什么,这里会告诉你,而且不枉你的5积分!
一个HTTP请求都包含了什么
03-31 7586
打开google开发者工具找一个请求可以看到下图,主要包含四个部分 通用头:General Header 1. Request URL 2. Request Method 3. Status Code 以上请求地址、请求方式、响应状态码比较简单不再赘述。 4. Remote Address Remote Address代表的是当前HTTP请求的远程地址,即HTTP请求的源地址。HTTP协议在三次握手时使用的就是这个Remote Address地址,在发送响应报文时也是使用这个Remo.
攻防世界 web——xff_referer
XYZCG的博客
09-03 474
(1)X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。由于很多用户通过代理服务器进行访问,服务器只能获取代理服务器的IP地址,而xff的作用在于记录用户的真实IP,以及代理服务器的IP。(2)HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器基此可以获得一些信息用于处理。
攻防世界-web-xff_referer
wuh2333的博客
04-16 804
攻防世界xff, referer
[CTF/网络安全] 攻防世界 xff_referer 解题详析
等风来
05-21 4370
[CTF/网络安全] 攻防世界 xff_referer 解题详析
攻防世界web新手关之xff_referer
weixin_45746283的博客
11-16 1574
攻防世界web新手关之xff_referer
ER-wizard-0xFF-WSLE:适用于 Ubiquiti EdgeMAX 设备的 BMK-Webstatus-LetsEncrypt 向导支持向导
05-30
ER向导-0xFF-WSLE 适用于 Ubiquiti EdgeMAX 设备的 BMK-Webstatus-LetsEncrypt 向导支持向导 重要提示:状态页面在当前 EdgeOS 版本上使用 python,在 EdgeOS v1.9.7alpha2 或更早版本上使用 PHP。 使用此 git 中的 LetsEncrypt-Setup 安装和管理 Web-Status-Packages: 它能做什么: 在安装向导时,安装 BMK-Webstatus-LE 包 显示网络服务器端口设置和证书状态、软件包安装 显示 domain.csr 和 signed.crt 的证书有效性/到期日和 FQDN 在 apply() 上触发 FQDN 证书注册和/或续订 更改网络服务器端口 在 apply() 上重启网络服务 已知错误/限制: 并非所有旧版本的文件都被检查:无论如何,bmk-web
源代码-C#与halcon开发的流程式机器视觉软件系统
11-06
基于C#开发的机器视觉软件系统,结合halcon视觉库,软件系统的功能采用流程式,所有功能的处理过程均可视化,提供了所有的源代码,供学习使用。
攻防世界xff-referer
qq_45955869的博客
05-21 46
xff:很多HTTP代理会在HTTP协议头中添加X-Forwarded-For头,用来追踪请求的来源。X-Forwarded-For包含多个IP地址,每个值通过逗号+空格分开,最左边(client1)是最原始客户端的IP地址,如果有多层代理,每一层代理会将连接它的客户端IP追加在X-Forwarded-For右边。会使用burpsuit工具。
攻防世界-WEBxff_referer
wlw1275178332的博客
03-18 305
请求刚从client1中发出时,XFF是空的,请求被发往proxy1;通过proxy1的时候,client1被添加到XFF中,之后请求被发往proxy2;通过proxy2的时候,proxy1被添加到XFF中,之后请求被发往proxy3;通过proxy3时,proxy2被添加到XFF中,之后请求的的去向不明,如果proxy3不是请求终点,请求会被继续转发。映入眼帘的就是IP地址,那根据上面我们所了解的,这应该就是我们要构造的xff的IP地址。使用bp抓包,在头部加上 xff(注意大写字母),然后放行。
攻防世界-xff_refere
HEAVEN569的博客
03-14 579
题目描述:X老师告诉小宁其实xffreferer是可以伪造的。 XFF(X-Forworded-For):是http请求头中的一个参数,是用来识别通过HTTP代理或者负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段 代表了HTTP的请求端真是的ip。 格式为:X-Forworded-For:ip 例如:X-Forworded-For: 10.10.10.10 referer:是HTTP头的一个字段,用来表示从哪儿链接到当前的页面,即表明来源URL地址。采用的格式是UR..
攻防世界——xff_referer
weixin_73668856的博客
11-23 685
新手web
xff_referer、simple_js(javascript代码审计+超详细脚本编写过程)
Welcome To Myon'Blog !
03-11 470
xff_referer、simple_js(javascript代码审计+超详细脚本编写过程) X-Forwarded-For(XFF),http referer,BurpSuite抓包 , HTML代码简化结构,javascript,Python脚本编写,split函数,ASCII码
攻防世界Web题解析(难度2)
m0_63138919的博客
08-03 698
本文为攻防世界Web题难度为2的解题思路和方法
xff_vision csdn
09-23
xff_vision是CSDN社区中的一个用户账号,该用户可能是一个程序员或者对技术有浓厚兴趣的个人。CSDN是中国最大的IT技术社区,用户可以在CSDN上分享和交流有关技术、编程、开发和科技的知识和经验。 通过xff_vision这个用户名,我们可以推测该用户对技术视野开阔,对技术的发展有自己的理解和见解。可能是一个有影响力的技术博主或者需要在CSDN上进行技术交流的用户。 在CSDN上,用户可以发布自己的技术博客,与其他技术人员进行交流讨论,提问和解答问题,分享经验和心得。用户可以关注其他用户,并通过关注来获取技术动态和学习资源。 xff_vision可能会发布一些关于计算机视觉、机器学习、人工智能等技术领域的文章,分享自己在这些领域的研究成果或者学习心得。该用户可能会参与一些开源项目或者组织技术研讨会,以加深自己的技术理解和交流。 总的来说,通过参与CSDN社区,xff_vision可以与同行进行沟通交流,扩大自己的技术影响力,同时也可以从其他人的文章和问题中获取新的学习和启发,让自己的技术视野更加开阔。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值