xff_referer知识

最新推荐文章于 2024-05-09 14:16:01 发布
最新推荐文章于 2024-05-09 14:16:01 发布
阅读量524 收藏
点赞数 2
文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63231007/article/details/123451006
版权

009 xff_referer

题目说,xff和referer是可以伪造的。

所以我们用burp抓包网站,然后send to repeater,在请求头添加X-Forwarded-For:123.123.123.123,send后,又得知来源必须来自https://www.goole.com/,所以我们再在请求头添加Referer: http:www.goole.com/ ,得到flag。

伪造方式:

1.用Firefox的插件x-forwarded-for 更改

2.burp抓包,发送到repeater模板的header进行增加,修改。

关于xff和referer:

X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到WEB服务器的客户端最原始的IP地址的HTTP请求头字段。(可显示不经过代理的原始IP)

 HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。
 

葫芦娃42
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XXF(x-forwarded-for)
sleepywin的博客
07-15 2884
X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。TCP/IP层面的IP伪造很难实现,因为更改后很难实现正常的TCP通信,但在HTTP层面的伪造就显得很容易。,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。左边第一个是浏览器IP,依次往右为第一个代理服务器IP,第二个,第三个(使用逗号+空格进行分割)
WEB安全学习第二天:BurpSuit的使用
weixin_43171447的博客
04-16 574
BurpSuit完成简单CTF题目
Burp插件之BurpSuitFake
最新发布
2301_80115097的博客
05-09 270
在最近的测试中发现一个问题某些高校在在登陆教务平台登陆的时候没有设置验证码而且重点是 他写的很清楚 密码是身份证后六位以下是我的一些思路和过程中解决的办法。
x-forwarded-for手工注入(超详细)
1
05-12 1051
使用靶场来进行演示。 访问靶场后看到的是一个常见的后台的登录框,第一步肯定是先试一下看看有没有弱口令咯,试了几个发现并不存在弱口令,但是发现网站有一串乱码的弹窗如下 虽然是乱码,但是看到里面有ip,头发短见识多得我就想到了这大概率是记录下了我本机的ip(这里的ip是开了隧道的不是我的哦~)让我们来抓包看一下 这里可以看到转编码之后确实是记录了我的ip,但是在请求包中没有发现xff头,就很奇怪,自己加上。 发现xff头的内容是可以随便控制的,下面可以看到输入单引号是报错的,那就直接尝...
BurpSuite 爆破的一次坑
weixin_46591320的博客
02-18 1631
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
[RoarCTF 2019]Online Proxy(x-forwarded-for盲注)
qq_62046696的博客
01-05 590
这道题点开题目然后题目显示不出网,一开始误认为是ssrf了,但是没有更多的信息了。源码有一个ip会不会是修改X-Forwarded-For就可以了呢,抓包试一下,发现有两个ip,一个当前一个是last上一个的意思把,这个本地是我火狐插件默认的。然后这里因为我经验少没感觉,看了大佬的讲解,才突然悟了,这一眼就可以看出一个sql注入的问题,因为last肯定存储到了一个数据库的里面不然查询10.244.80.206怎么能显示出来呢。
源代码-C#与halcon开发的流程式机器视觉软件系统
11-06
基于C#开发的机器视觉软件系统,结合halcon视觉库,软件系统的功能采用流程式,所有功能的处理过程均可视化,提供了所有的源代码,供学习使用。
ignore_0xff.rar_scale
09-14
File: sf_estim.h Content: Scale factor estimation functions.
与上0xFF的意义.zip
06-05
有些人,不太懂,C语言中为什么出现“&0xFF”,它存在的意义是什么,是补零?不会,他只是按位与,没有补零的功效,那到底是什么,这里会告诉你,而且不枉你的5积分!
将bin填充0xFF到指定大小(含源码)
01-15
升级flash时,flash大小必须是16M,下载的flash文件有时不足16M,便做了个小工具,将bin填充0xFF到指定大小。
thinkphp 一键漏洞检测
12-09
thinkphp 一键漏洞检测,V3.2.0~V5.1.23,都可进行测试
Chrome插件:X-Forwarded-For Header
12-15
X-Forwarded-For Header插件,此扩展允许您快速设置X-Forwarded-For HTTP标头
攻防世界新手练习区10之xff_referer
qq_37872337的博客
08-19 1236
0x00        Tips:X老师告诉小宁其实xffreferer是可以伪造的。看这道题的描述,发现应该是去DIY数据包了,这里可以使用burp抓包。        首先介绍一下xff,全称为X-Forwarded-For,在数据包中负责提供用户客户端的IP,后端可以用一些全局数组来获取这个字段;referer字段,也为http协议中的一个字段,标示着本次请求是
攻防世界xffrefereer
m0_73303597的博客
11-09 822
紫铜
xff_referer
qdlws的博客
07-25 426
xff_referer
http中的XFF(X-Forwarded-For)
wssmiss的博客
07-21 8287
详细知识请移步大佬网页
XFF漏洞利用说明
墨痕诉清风的博客
10-09 2177
X-Forwarded-For(XFF) XFF是header请求头中的一个参数 是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。 代表了HTTP的请求端真实的IP。 X-Forwarded-For: client1, proxy1, proxy2, proxy3 //浏览器IP,第一个代理服务器,第二个三个四个等等 利用方式 1.绕过服务器过滤 XFF漏洞也称为IP欺骗。 有些服务器通过XFF头判断是否是本地服务器,当判断为本地服务器时,
chrome 插件清单
xff1994的博客
11-29 306
onetab plus:一件收容标签页 reader view:阅读模式 save to pocket:内容收集工具,稍后阅读神器 octotree:github 代码目录树 imagus:网页图片放大镜 微博图床:微博图床 video downloader:网页视频下载 adblock:屏蔽广告 infinity:好看高效的新标签页 postman:模拟 http 请求 达达划词翻译:划词翻译...
xff_vision csdn
09-23
xff_vision是CSDN社区中的一个用户账号,...总的来说,通过参与CSDN社区,xff_vision可以与同行进行沟通交流,扩大自己的技术影响力,同时也可以从其他人的文章和问题中获取新的学习和启发,让自己的技术视野更加开阔。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值