1.实验环境与工具
www.mozhe.cn 漏洞平台
BurpSuit抓包代理工具
2.实验任务
2.1通过修改GET数据包中Referer字段实现对发出请求网址的伪装
2.2通过修改User-Agent实现对客户浏览器的伪装
2.3 GET对url长度有限制,此时应改为POST,将请求content移至末尾请求体部分
Content-Type的格式:
Content-Type:type/subtype ;parameter
type:主类型,任意的字符串,如text,如果是*号代表所有;
subtype:子类型,任意的字符串,如html,如果是*号代表所有,用“/”与主类型隔开;
parameter:可选参数,如charset,boundary等。
2.4使用BP的测试器攻击功能,通过X-Forwarded-For设置动态ip来实现攻击
加入X-Forwarded-For字段,设置一个IP
将该包加入测试器,攻击目标会自动填入
设置IP字段随机数
开始攻击
攻击成功
放包查看