2021-02-20-xff-referer伪造ip地址和网址

最新推荐文章于 2024-05-08 15:12:00 发布
最新推荐文章于 2024-05-08 15:12:00 发布
阅读量1.9k 收藏 1
点赞数
分类专栏: 网络安全 文章标签: ip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43639682/article/details/123660304
版权

layout: post
title: “xff-referer伪造ip地址和域名”
categories: [ctf]
tags: [xff referer]

最新版的BurpSuite( Pro v2021.2)与以前版本不同,将raw headers hex这些二级导航栏去掉,改在了右侧显示,需要Add伪造ip和域名的时候,在该部分右侧底部有add按钮等老版功能,进行添加操作和其他老版功能

burpsuite

X-Forwarded-For

  • 是一个 HTTP 扩展头部,主要是为了让 Web 服务器获取访问用户的真实 IP 地址。在代理转发及反向代理中经常使用X-Forwarded-For 字段。
  • 是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。简单地说,xff是告诉服务器当前请求者的最终ip的http请求头字段,通常可以直接通过修改http头中的X-Forwarded-For字段来仿造请求的最终ip
  • https://www.cnblogs.com/huaxingtianxia/p/6369089.html
  • 产生背景

在这里插入图片描述

在这里插入图片描述

代理

  • 正向代理

    正向代理是一个位于客户端【用户A】和原始服务器(origin server)【服务器B】之间的服务器【代理服务器Z】,为了从原始服务器取得内容,用户A向代理服务器Z发送一个请求并指定目标(服务器B),然后代理服务器Z向服务器B转交请求并将获得的内容返回给客户端。

    作用:1. 访问本无法访问的服务器B

    2.加速访问服务器B

    3.Cache作用

    4.客户端访问授权

    5.隐藏访问者的行踪

  • 反向代理

    反向代理正好与正向代理相反,对于客户端而言代理服务器就像是原始服务器,并且客户端不需要进行任何特别的设置。客户端向反向代理的命名空间(name-space)中的内容发送普通请求,接着反向代理将判断向何处(原始服务器)转交请求,并将获得的内容返回给客户端。

    作用:1、保护和隐藏原始资源服务器

    2、负载均衡

  • 透明代理

    透明代理的意思是客户端根本不需要知道有代理服务器的存在,它改编你的request fields(报文),并会传送真实IP。注意,加密的透明代理则是属于匿名代理,意思是不用设置使用代理了。

https://blog.csdn.net/championhengyi/article/details/80671517

Referer

Referer HTTP 请求header 的一部分,当浏览器(或者模拟浏览器行为)向web 服务器发送请求的时候,头信息里有包含 Referer 。比如我在www.sojson.com 里有一个www.baidu.com 链接,那么点击这个www.baidu.com ,它的header 信息里就有:

Referer=https://www.sojson.com

由此可以看出来吧。它就是表示一个来源。看下图的一个请求的 Referer 信息。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-rCO6UgwS-1647931039394)(https://cdn.yinshua86.com/file/16-01-23-02-49-30/doc/6023914857.jpg)]

这里有一个小问题要说明下。

Referer 的正确英语拼法是referrer 。由于早期HTTP规范的拼写错误,为了保持向后兼容就将错就错了。其它网络技术的规范企图修正此问题,使用正确拼法,所以目前拼法不统一。还有它第一个字母是大写。

Referer的作用

1.防盗链。

我在www.sojson.com里有一个www.baidu.com链接,那么点击这个www.baidu.com,它的header信息里就有:

Referer=https://www.sojson.com

那么可以利用这个来防止盗链了,比如我只允许我自己的网站访问我自己的图片服务器,那我的域名是www.sojson.com,那么图片服务器每次取到Referer来判断一下是不是我自己的域名www.sojson.com,如果是就继续访问,不是就拦截。

这是不是就达到防盗链的效果了?

2.防止恶意请求。

比如我的SOJSON网站上,静态请求是*.html结尾的,动态请求是*.shtml,那么由此可以这么用,所有的*.shtml请求,必须 Referer 为我自己的网站。

Referer=https://www.sojson.com

空Referer是怎么回事?什么情况下会出现Referer?

首先,我们对空 Referer 的定义为, Referer 头部的内容为空,或者,一个 HTTP 请求中根本不包含 Referer 头部。

那么什么时候 HTTP 请求会不包含 Referer 字段呢?根据Referer的定义,它的作用是指示一个请求是从哪里链接过来,那么当一个请求并不是由链接触发产生的,那么自然也就不需要指定这个请求的链接来源。

比如,直接在浏览器的地址栏中输入一个资源的URL地址,那么这种请求是不会包含 Referer 字段的,因为这是一个“凭空产生”的 HTTP 请求,并不是从一个地方链接过去的。

那么在防盗链设置中,允许空Referer和不允许空Referer有什么区别?

允许 Referer 为空,意味着你允许比如浏览器直接访问,就是空。

如下图:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wvS7l4lz-1647931039394)(https://cdn.yinshua86.com/file/16-01-23-02-54-09/doc/6753290148.jpg)]

这就是空的 Referer

拒绝空的 Referer 。比如我的www.sojson.com的静态资源都是拒绝空的Referer 的。如下图,我访问我的一个图片。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qT1m2q0U-1647931039395)(https://cdn.yinshua86.com/file/16-01-23-02-57-10/doc/3910657428.jpg)]

看到了吧,直接拒绝访问了,如果有同学在测试我网站的静态资源的时候,记住强制刷新Ctrl + F5 ,因为浏览器有缓存,可能你开始还是可以访问的。

当然。这个你不能完全依赖 Referer 来做一些事情,因为这个最容易伪造来源。

黑朱雀
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
piwigo-videojs安装说明和必须安装的软件
03-13
Piwigo是一款免费开源使用的多功能图库软件,该软件基于最新的MySQL5与PHP5编程语言开发,性能强大,为用户提供了高效便捷的图片管理功能,用户可根据图片的拍摄时间,类型等信息对其进行分类,还可以手机同步。我这里介绍的是piwigo-videojs,视频插件,我在安装时候走了很多弯路,这里先说下 Piwigo 11.3.0 是支持本插件的 php.ini需要开启 system,putenv,shell_exec 这三个权限 视频生成缩略图,由于主机设置PHP程序执行时间比较短,需要在 plugins\piwigo-videojs\include\function_sync2.php 文件中加入set_time_limit(0);语句 后台插件-LocalFiles Editor-设置-本地配置中需要加入一下参数 $conf['sync_chars_regex'] = '/^[a-zA-Z0-9-_.\x00-\xff]+$/'; $conf['show_exif'] = true; $conf['show_exif_fields'] = array( 'Make', 'Model', 'ExifVersion', 'Software', 'DateTimeOriginal', 'FNumber', 'ExposureBiasValue', 'FILE;FileSize', 'ExposureTime', 'Flash', 'ISOSpeedRatings', 'FocalLength', 'FocalLengthIn35mmFilm', 'WhiteBalance', 'ExposureMode', 'MeteringMode', 'ExposureProgram', 'LightSource', 'Contrast', 'Saturation', 'Sharpness', 'bitrate', 'channel', 'date_creation', 'display_aspect_ratio', 'duration', 'filesize', 'format', 'formatprofile', 'codecid', 'frame_rate', 'latitude', 'longitude', 'make', 'model', 'playtime_seconds', 'sampling_rate', 'type', 'resolution', 'rotation', ); $conf['vjs_mediainfo_dir'] = 'D:\MediaInfo\MediaInfo.exe '; $conf['vjs_exiftool_dir'] = 'D:\exiftool\"exiftool.exe" '; $conf['vjs_ffprobe_dir'] = 'D:\ffmpeg\bin\ffprobe.exe '; $conf['ffmpeg_dir'] = 'D:\ffmpeg\bin\ffmpeg.exe '; 最后的参数是安装piwigo-videojs插件的必须软件,并且需要指出安装位置,如果您已经把参数写到变量里面,可以不用理会直接删除就可以了,注意,在EXE后面有空格,否则执行脚本会出错。 设置环境变量,windows服务器,我的电脑或者此电脑-右键属性-高级-环境变量-找到系统变量,里面变量为PATH-编辑 添加D:\MediaInfo到系统变量(PATH) 添加D:\exiftool到系统变量(PATH) 添加D:\ffmpeg\bin到系统变量(PATH) 在插件里面的piwigo-videojs设置需要提前设置好,在插件里面的同步是没用的,我测试好几次都不能同步数据和生成缩略图和海报 视频不能直接网页上传,需要用FTP上传到galleries目录 例如你要上传 wenhua.mp4 到galleries目录,你需要在galleries目录新建一个英文目录(千万别是中文文件夹或者文件名后期会出错的),上传好后,进网页后台,面板最下面有个 快速本地同步 ,别的同步都不起作用。同步好后,点图片-批量管理,选择您的视频,下面有个操作,选择videojs,需要生成缩略图的自己选择下,然后点执行操作就可以了。 还有个问题,第一次生成海报,你要是第二次在生成海报,前台海报不会变,你需要到 _data\i\galleries\视频目录\pwg_representative 删除这个目录下xxxx-cu_e250.jpg文件,然后刷新下前台
7kbscan-WebPathBrute v1.6.0 最新编译版
08-29
介绍 Windows下确实没有功能比较全又稳定的Web目录扫描暴力探测扫描工具了,此前用过破壳扫描器和dirburte都不稳定经常崩,御剑虽好,但是缺少很多小功能。 功能 先说说并发线程数吧(多线程),虽然默认是20 但是加大也无妨看你自己的各个参数设置和机器网络等配置了。 超时时间自己视情况而定 也不必多介绍了。 三、这个随机xff头和xr头 套用百度上一段话 能懂得自然懂得 不懂得也无所谓 很少能碰见需要用到的这种情况 勾选后每次访问都会随机生成这两个IP值 如果线程开的大 可能比较耗cpu。 X-Forwarded-For是用于记录代理信息的,每经过一级代理X-Forwarded-For是用于记录代理信息的,每经过一级代理(匿名代理除外),代理服务器都会把这次请求的来源IP追加在X-Forwarded-For中,来自4.4.4.4的一个请求,header包含这样一行 X-Forwarded-For: 1.1.1.1, 2.2.2.2, 3.3.3.3 代表 请求由1.1.1.1发出,经过三层代理,第一层是2.2.2.2,第二层是3.3.3.3,而本次请求的来源IP4.4.4.4
负载或反向代理服务器如何配置XFF以获取终端真实IP
最新发布
program哲学
05-08 832
介绍如何在反向代理或负载中配置XFF,方便后端服务获取请求来源的真实IP
CVE-2020-1350:HoneyPoC
03-18
这是一项教育性的练习。使用风险自负。 CVE-2020-1350利用aka SIGRED ,。 解决方法 reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v "TcpReceivePacketSize" /t REG_DWORD /d 0xFF00 /f net stop DNS && net start DNS MS链接: : Microsoft已发布安全补丁,您可以在此处下载该补丁: Windows二进制PoC ./CVE-2020-1350.exe will run the exploit. 有关如何使用二进制文件的更多信息,请查看README.pdf。 源代码可在此处获取: : 在Linux上运行漏洞 在exploit.sh中更改目标IP,然后执行以下操作
cobs-c:一致的开销字节填充— C实现
05-06
一致的开销字节填充(COBS) 作者: 克雷格·麦昆(Craig McQueen) 接触: 版权: 2017克雷格·麦昆(Craig McQueen) 用于对COBS进行编码和解码的C函数。 介绍 提供了一个库,其中包含根据COBS方法进行编码和解码的功能。 什么是COBS? COBS是一种将字节数据包编码为不包含值为零(0x00)的字节的形式的方法。 字节的输入数据包可以包含0x00到0xFF的整个范围内的字节。 保证COBS编码的数据包生成的字节数仅在0x01到0xFF范围内。 因此,在通信协议中,可以用0x00字节可靠地界定数据包边界。 COBS编码确实必须增加数据包大小才能实现此编码。 但是,与其他字节填充方法相比,数据包大小的增加是合理且可预测的。 COBS总是在消息长度上添加1个字节。 另外,对于长度为n的较长数据包,它可能会将n / 254(向下舍入)附加字节
XXF(x-forwarded-for)
sleepywin的博客
07-15 2885
X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。TCP/IP层面的IP伪造很难实现,因为更改后很难实现正常的TCP通信,但在HTTP层面的伪造就显得很容易。,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。左边第一个是浏览器IP,依次往右为第一个代理服务器IP,第二个,第三个(使用逗号+空格进行分割)
xff-referer伪造ip地址和域名
Be Smart
02-20 7148
layout: post title: “xff-referer伪造ip地址和域名” categories: [ctf] tags: [xff referer] 最新版的BurpSuite与以前版本不同,将raw headers hex这些二级导航栏去掉,改在了右侧显示,需要Add伪造ip和域名的时候,在该部分右侧底部有add按钮等老版功能,进行添加操作和其他老版功能 X-Forwarded-For 是一个 HTTP 扩展头部,主要是为了让 Web 服务器获取访问用户的真实 IP 地址。在代理转发及反
ctf之xff_referer伪造
qq_53106085的博客
10-17 3690
xffxff 是http的拓展头部,作用是使Web服务器获取访问用户的IP真实地址(可伪造)。由于很多用户通过代理服务器进行访问,服务器只能获取代理服务器的IP地址,而xff的作用在于记录用户的真实IP,以及代理服务器的IP。格式为:X-Forwarded-For: 本机IP, 代理1IP, 代理2IP, 代理2IP referer:referer 是http的拓展头部,作用是记录当前请求页面的来源页面的地址。服务器使用referer确认访问来源,如果referer内容不符合要求,服务器可以拦截或者重定
伪造XFF头绕过服务器IP过滤
weixin_34367845的博客
11-20 1218
IP伪造 TCP/IP层面的IP伪造很难实现,因为更改后很难实现正常的TCP通信,但在HTTP层面的伪造就显得很容易。可以通过伪造XFF头进行IP伪造 XFF字段 X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。通俗来说,就是浏览器访问网站的IP。一般格式: X-Forwarded-For:...
web12:本地管理员(http请求,伪造IP,XFF字段)
y17861077326的博客
02-02 2514
这道题,提示是IP禁止访问。看了答案以后,说是伪造本地IP。 不允许外来IP访问,那么应该就是本地IP可以访问了,本地IP又称回送地址,用于本地软件测试,进程间通信。 伪造本地IP的方法是在http头上加一个字段X-Forwarded-For:127.0.0.1 另外在网页源码里有一串Base64字符,解码后是test123 管理员系统的账号常为admin,所以猜test123是其密码。 所以伪造http头,加一个字段伪造来源为本地IP即可破解题目。 ...
关于X-Forwarded-For被伪造情况下获取真实ip的处理
猪肉炖白菜
09-03 2977
背景 在风控场景下,有很多基于客户端ip的风控规则。通常通过http协议头中的X-Forwarded-For来获取ip,但该字段很容易被伪造,这种情况下该如何处理? 概念 X-Forwarded-ForX-Forwarded-For 是一个扩展头。HTTP/1.1(RFC 2616)协议并没有对它的定义,它最开始是由 Squid 这个缓存代理软件引入,用来表示 HTTP 请求端真实 IP,现在已经成为事实上的标准,被各大 HTTP 代理、负载均衡等转发服务广泛使用,并被写入 RFC 7239(For.
X-Forwarded-For火狐插件
01-10
X-Forwarded-For火狐插件
swift-image:迅捷图片
04-23
SwiftImage是一个用Swift编写的图像库,它提供了具有Swifty API和图像类型。 var image = Image < RGBA>> ( named : " ImageName " ) ! let pixel: RGBA< UInt8> = image[x, y] image[x, y] = RGBA ( red : 255 , ...
Coo1Runner-Ⅱ器件实现SRAM控制器
11-17
SRAM分为两个块,分别是Buffer1(0x00~0xff)和Buffer2(0x100~Oxlff)。 如图所示为SRAM控制器状态机,读写SRAM都是由此状态机完成的。  如图 SRAM控制器状态机 DMA访问SRAM的优先级高于CPU。当DMA状态机正在访问...
catbus-wakeonlan:用于Catbus的局域网唤醒执行器
02-14
魔术包以大尾数法表示: 6个字节的0xFF 。 您正在唤醒的设备的MAC地址,为16次。 例如,对于具有MAC地址aa:bb:cc:dd:ee:ff ,数据包将以十六进制表示: ffffffffffffaabbccddeeffaabbccddeeffaabbccddeeffaab
IIC应用--24c02(C语言)
02-05
0x82,0xf8,0x80,0x90,0xff}; //共阳数码管段码 sbit SDA=P1^5; //定义数据线 sbit SCL=P1^4; //定义时钟线 bit flag; uint idata ucSendBuffer[1]=0; uint idata ucReceData; void delay(void); void delay_10ms...
xffreferer是可以伪造
ㅤㅤㅤ
08-10 939
攻防世界xff-referer
qq_45955869的博客
05-21 53
xff:很多HTTP代理会在HTTP协议头中添加X-Forwarded-For头,用来追踪请求的来源。X-Forwarded-For包含多个IP地址,每个值通过逗号+空格分开,最左边(client1)是最原始客户端的IP地址,如果有多层代理,每一层代理会将连接它的客户端IP追加在X-Forwarded-For右边。会使用burpsuit工具。
通过xff伪造ip地址_通过渠道进行伪造
danpu0978的博客
05-17 3707
通过xff伪造ip地址 伪造是一种常见的测试技术,涉及创建可以在测试中使用的接口的裸实现。 它们通常使您可以检查它们的用法,从而可以确保被测对象的行为。 通常,伪造品具有存储和检索方法,但是在本文中,我们将探索使用Go的通道和goroutines创建令人难以置信的通用伪造品,即使执行代码是并发的,它们也可以将测试代码与执行代码同步。 那个单位 首先,让我们看一下要测试的代码。 您可以在g...
XFF (X-Forwarded-For) 伪造
07-27
X-Forwarded-For (XFF) 是一个 HTTP 请求头,用于标识客户端的原始 IP 地址。它通常被代理服务器用于传递请求的真实来源,以便目标服务器能够获取到正确的客户端 IP 地址。 然而,由于 XFF 是一个可编辑的请求头,恶意用户可以伪造 XFF 头部来隐藏他们的真实 IP 地址或者冒充其他 IP 地址。这种伪造的行为被称为 XFF 伪造XFF 伪造可能导致安全风险和隐私问题,因为目标服务器可能会依赖 XFF 头部来进行访问控制、日志记录或者其他安全相关的操作。攻击者可以利用 XFF 伪造来绕过这些控制措施或者混淆日志记录。 为了防止 XFF 伪造,服务器端应该采取一些措施来验证和过滤 XFF 头部。这包括检查 XFF 头部是否符合预期格式、验证 IP 地址的合法性,以及结合其他安全措施来确保请求的可信度。此外,网络管理员还可以使用 Web 应用防火墙 (WAF) 或其他安全设备来检测和阻止 XFF 伪造攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黑朱雀

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值