有关http伪造绕过问题

最新推荐文章于 2024-07-23 17:30:00 发布
最新推荐文章于 2024-07-23 17:30:00 发布
阅读量600 收藏 4
点赞数 9
文章标签: http 网络协议 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46229939/article/details/138482903
版权

首先打开环境

下一步看看源文件代码

 

仔细查看发现在下面出现了secret.php文件,就是我们要找的之后直接访问

 

然后进行抓包处理 ,发送到重发器里面

 

 

上面提示不是来自https://Sycsecret.com,就可以在header中添加上 Referer:https://Sycsecret.com ,来伪造访问来源,Referer协议就是告诉服务器我从哪里来。所以抓包修改。 下图是修改后的结果

 

 点击发送,提示请使用 Syclover 浏览器,这就可以想到用User-Agent协议来伪造访问工具为 Syclover 浏览器,修改 User-Agent 为User-Agent: Syclover,再次提示No!!! you can only read this locally 。

 

可以伪造本地ip 127.0.0.1,所以我们可以利用X-Forwarded-For协议来伪造只需要在 header 添加 X-Forwarded-For:127.0.0.1 ,点击发送,最后得到flag。

 

爱摸鱼的小杰
关注
  • 9
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
VBS伪造HTTP-REFERER的实现方法
09-05
标题中的“VBS伪造HTTP-REFERER的实现方法”指的是使用Visual ...在实际应用中,这种方法可能用于测试、自动化或者绕过某些基于Referer的限制,但要注意其可能引发的安全问题,比如在不恰当的使用下可能导致CSRF漏洞。
linkvertise-bypass:Linkvertise绕过脚本
05-30
它可能通过分析HTML源码,寻找特定的标记或模式来识别Linkvertise的链接,并用自定义的HTTP请求替换原有的请求,以绕过其保护。 需要注意的是,使用此类脚本可能存在法律和道德风险。绕过他人设定的访问限制可能...
伪造XFF头绕过服务器IP过滤
Little Snow White
04-24 3141
IP伪造 TCP/IP层面的IP伪造很难实现,因为更改后很难实现正常的TCP通信,但在HTTP层面的伪造就显得很容易。可以通过伪造XFF头进行IP伪造 XFF字段 X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。通俗来说,就是浏览器访问网站的IP。一般格式: X-Forwarded-For: clien...
Swaks绕过SPF验证进行邮件伪造
渗透测试研究中心
05-10 4113
0x00 swaks简介 Swaks是一个功能强大,灵活,可编写脚本,面向事务的SMTP测试工具,由John Jetmore编写和维护。 目前Swaks托管在私有svn存储库中。官方项目页面是http://jetmore.org/john/code/swaks/ 下载安装:(kali系统下自带,如果出错,可使用以下地址下载安装) v20181104.0发行版:http://jetmore.org...
邮件伪造之SPF绕过的5种思路
热门推荐
05-17 2万+
SMTP(SimpleMail Transfer Protocol)即简单邮件传输协议,正如名字所暗示的那样,它其实是一个非常简单的传输协议,无需身份认证,而且发件人的邮箱地址是可以由发信方任意声明的,利用这个特性可以伪造任意发件人。SPF 出现的目的,就是为了防止随意伪造发件人。SPF,全称为 Sender Policy Framework,是一种以IP地址认证电子邮件发件人身份的技...
SSRF服务端请求伪造——原理及绕过姿势
qq_41679358的博客
08-12 2644
转自行云博客 原理 SSRF(Server-Side Request Forgery:服务器端请求伪造)是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。 一般情况下,SSRF是要目标网站的内部系统。 因为他是从内部系统访问的,所有可以通过它攻击外网无法访问的内部系统,也就是把目标网站当中间人 SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。 发生场景 只要当前服务器有发送请.
csrf绕过Referer技巧-01
09-15
CSRF攻击是Web应用安全中一个常见的问题Referer头可以用来防御CSRF攻击,但是攻击者可以通过绕过Referer技巧来欺骗服务器。因此,Web开发者需要采取多种防御措施来防御CSRF攻击,例如验证Token、双重验证、验证码...
PHP伪造来源HTTP_REFERER的方法实例详解
12-18
HTTP_REFERER是HTTP协议中的一部分,它能帮助网站识别用户的来源路径,但也可以被恶意利用,例如在自动发帖机中伪造这个信息以绕过简单的防护机制。 描述中提到,由于论坛自动发帖机等工具广泛使用,很多网站通过...
php使用curl伪造浏览器访问操作示例
10-16
正确设置`User-Agent`和可能的IP地址,可以有效地绕过一些服务器针对非浏览器访问的限制。在实际应用中,应根据具体需求调整这些设置,确保符合目标服务器的访问策略。同时,注意遵守网站的robots.txt文件和相关使用...
HTTP 协议浅析
最新发布
yimeixiaolangzai的博客
07-23 546
HTTP 是一种无状态的、基于请求和响应模式的应用层协议。无状态意味着每次请求都是独立的,不依赖于前后的请求。客户端(通常是浏览器)发起请求,服务器处理请求并返回响应。
哪种SSL证书可以快速签发保护http安全访问?
2301_81852320的博客
07-19 492
SSL证书不同的证书类型,申请、签发、部署的时间周期有所不同,哪种SSL证书可以快速签发呢?
网络访问(Socket/WebSocket/HTTP)
Cary_cacb的博客
07-23 433
HarmonyOS为用户提供了网络连接功能,具体由网络管理模块负责。通过该模块,用户可以进行Socket网络通滚、WebSocket连接、HTTP数据请求等网络通信服务。需要注意的是,在使用网络管理模块提供的网络数据通信服务之前,用户需要根据具体的使用情况,向系统获取相应的使用权限。
网络通信」HTTP 协议
Ice_Sugar_7的博客
07-14 1369
HTTP 协议全称为超文本传输协议,超文本比文本更加强大,它不仅包含字符串,还可以携带一些图片、特殊格式等HTTP 最主要的应用场景就是网站。浏览器和服务器、客户端和服务器之间传输数据的协议,很可能就是 HTTP
Ajax原理-XMLHttpRequest、Promise以及封装简易的axios函数
2302_80141844的博客
07-23 231
浏览器提供给服务器的额外信息,让服务器返回浏览器想要的数据Promise对象用于表示一个异步操作的最终完成(或失败)及其结果值。
HarmonyOS网络请求的简单用法,HttpUtil简单封装
张雨的博客
07-23 203
【代码】HarmonyOS网络请求的简单用法,HttpUtil简单封装。
【Python】成功解决conda创建虚拟环境时出现的CondaHTTPError: HTTP 000 CONNECTION FAILED错误
qq_38614074的博客
07-21 879
错误是一个常见但可能由多种原因导致的conda网络问题。在解决此类问题时,首先应当检查网络连接,确保设备能够正常访问外部网络,特别是conda依赖的源服务器。接下来,可以逐一尝试上述提到的解决方案,包括暂时关闭防火墙或安全软件、更换源、清除conda缓存、更新或降级conda版本、强制SSL验证以及设置代理等。
http 协议中GET如何传递参数(Query String)?
draracle的巢穴
07-19 517
之前看过数数提供的开发包,因为服务器用的是C++,而数数提供的C/C++开发包简陋的吓人,简单的看了一下代码,发现这些SDK在内存,临界区管理,多线程管理上没有做任何优化,如果直接使用,不仅增加了服务器的风险,还降低了服务器的性能,所以决定使用数数的POST接口来传递数据,但是需要自己手搓一个Http Connection来实现Http的访问。由于之前搞Web Scoket的时候,已经做了一些Http协议的基础代码,包括请求行,状态行,请求头,响应头等,所以基本上就是在这些基础上进一步的封装。
上传验证绕过技术详解
上传验证绕过是一种常见的网络安全问题,它涉及到网站应用程序的安全性,尤其是在用户可以上传文件的场景下。当上传验证机制被绕过时,攻击者可能能够上传恶意文件,如病毒、木马或者利用脚本,进而对网站和其用户...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值