攻防世界-web-xff_referer

最新推荐文章于 2024-04-19 09:30:00 发布
最新推荐文章于 2024-04-19 09:30:00 发布
阅读量812 收藏 3
点赞数 1
分类专栏: 安全 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuh2333/article/details/130187034
版权

题目描述:X老师告诉小宁其实xff和referer是可以伪造的。

1. 简单介绍下什么是xff和referer

xff(X-Forwarded-For):是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。这个字段是一个头部字段,目的在于记录用户访问web服务器过程中的真实IP和经过的代理服务器的IP。假设用户IP为ip1, 经过代理服务器IPip2,ip3访问到web服务器,则X-Forwarded-For: ip1, ip2, ip3.

referer:这个也是header的一部分,表示访问者进入网站的任何途径。当浏览器向发出web服务器请求的时候,一般会带上Referer,告诉服务器用户从那个页面连接过来的,服务器藉此可以获得一些信息用于处理。

2. 根据题目描述,ip地址必须为123.123.123.123,那我们先将xff设置为该IP

3. 将referer设置为https://www.google.com成功拿到flag

 

总结:很基础的一道题,主要目的在于说明XFF和referer这两个值的不可信,是可以被篡改的,使用时需要慎重。

wuh2333
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
X-Forwarded-For火狐插件
01-10
X-Forwarded-For火狐插件
ER-wizard-0xFF-WSLE:适用于 Ubiquiti EdgeMAX 设备的 BMK-Webstatus-LetsEncrypt 向导支持向导
05-30
ER向导-0xFF-WSLE 适用于 Ubiquiti EdgeMAX 设备的 BMK-Webstatus-LetsEncrypt 向导支持向导 重要提示:状态页面在当前 EdgeOS 版本上使用 python,在 EdgeOS v1.9.7alpha2 或更早版本上使用 PHP。 使用此 git 中的 LetsEncrypt-Setup 安装和管理 Web-Status-Packages: 它能做什么: 在安装向导时,安装 BMK-Webstatus-LE 包 显示网络服务器端口设置和证书状态、软件包安装 显示 domain.csr 和 signed.crt 的证书有效性/到期日和 FQDN 在 apply() 上触发 FQDN 证书注册和/或续订 更改网络服务器端口 在 apply() 上重启网络服务 已知错误/限制: 并非所有旧版本的文件都被检查:无论如何,bmk-web
攻防世界15:xff-referer
最新发布
weixin_49765221的博客
04-19 415
构造协议头
ctf-攻防世界-webxff_referer
一只菜鸟的博客
11-08 753
首先看提示:xffreferer是可以被伪造的,看来是要伪造请求头 打开环境,显示ip必须为123.123.123.123。既然已经提示了伪造xff,那就是验证xff了。 burp抓包,右键send to repeater,在请求头中添加X-Forwarded-For:123.123.123.123,放包。 发现提示必须来自https://www.google.com,那在请求头再添加Referer:https://www.google.com,则出现flag ...
攻防世界xff_referer(web简单)
my_name_is_sy的博客
05-28 402
题目:老师告诉小宁其实xffreferer是可以伪造的 抓包,(我用的burp),然后按照提示依次插入xffreferer词条,如下: 相关知识: xff: X-Forwarded-For X-Forwarded-For (XFF) 在客户端访问服务器的过程中如果需要经过HTTP代理或者负载均衡服务器,可以被用来获取最初发起请求的客户端的IP地址,这个消息首部成为事实上的标准。在消息流从客户端流向服务器的过程中被拦截的情况下,服务器端的访问日志只能记录代理服务器或者负载均衡服务器的IP地址。如.
攻防世界(web)---xff_referer
ooooohhhhhhh博客
08-02 265
X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。 这一HTTP头一般格式如下: X-Forwarded-For: client1, proxy1, proxy2, proxy3 ip地址必须为123.123.123.123,用xff伪造IP协议 X-Forwarded-For: 123.123.123.123 显示内部HTML必须来自https://www.google.com" HTTP Re..
攻防世界 web——xff_referer
XYZCG的博客
09-03 495
(1)X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。由于很多用户通过代理服务器进行访问,服务器只能获取代理服务器的IP地址,而xff的作用在于记录用户的真实IP,以及代理服务器的IP。(2)HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器基此可以获得一些信息用于处理。
攻防世界-web xff_Referer
m0_53533553的博客
09-11 2009
xff_Referer 扩展 xff Romote Address xff简称X-Forwarded-For X-Forwarded-For 是一个 HTTP 扩展头部,是用来识别通过HTTP代理,或,负载均衡方式,连接到Web服务器的客户端最原始的IP地址,的HTTP请求头字段。 主要是为了让 Web 服务器获取访问用户的真实 IP 地址。 那为什么 Web 服务器只有通过 X-Forwarded-For 头才能获取真实的 IP? Remote Address代表的是当前HTTP请求的远程地址,即HTTP
正向代理,反向代理及XFF
qq_44875284的博客
07-21 3719
记录一下正向代理,反向代理和XFF
[CTF/网络安全] 攻防世界 xff_referer 解题详析
等风来
05-21 4513
[CTF/网络安全] 攻防世界 xff_referer 解题详析
攻防世界web新手关之xff_referer
weixin_45746283的博客
11-16 1605
攻防世界web新手关之xff_referer
7kbscan-WebPathBrute v1.6.0 最新编译版
08-29
Windows下确实没有功能比较全又稳定的Web目录扫描暴力探测扫描工具了,此前用过破壳扫描器和dirburte都不稳定经常崩,御剑虽好,但是缺少很多小功能。 功能 先说说并发线程数吧(多线程),虽然默认是20 但是加大也...
CVE-2020-1350:HoneyPoC
03-18
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v "TcpReceivePacketSize" /t REG_DWORD /d 0xFF00 /f net stop DNS && net start DNS MS链接: : Microsoft已发布安全补丁,您...
swift-image:迅捷图片
04-23
迅捷图片 SwiftImage是一个用...image[x, y] = RGBA ( 0xFF00007F ) // red: 255, green: 0, blue: 0, alpha: 127 // Iterates over all pixels for pixel in image { // ... } // Image processing (e.g. binari
攻防世界-Web-新手-xff_referer
weixin_31610083的博客
09-21 2615
【题目描述】 X老师告诉小宁其实xffreferer是可以伪造的。 【附件】 在线场景 【过程及思路】 打开在线场景后,出现如下提示: 服务器那边要求我们的原始ip是123.123.123.123,我们明显不是这么一个ip,怎么办呢? 题目告诉我们xffreferer可以伪造,那么什么是xffreferer呢? 维基百科给出的解释: X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的H...
攻防世界——新手区——xff_referer
weixin_45864041的博客
08-18 663
题目提示 xffreferer是可以伪造的。 直接上burpsuite 因为题目要求,ip必须为123.123.123。所以抓包后添加 X-Forwarded-for:123.123.123.123 发包 可以看到,题目要求是必须来自https://www.google.com。再添加 referer:https://www.google.com 发包 获得了flag。 知识点 什么是 xff ? X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器.
xff_referer、simple_js(javascript代码审计+超详细脚本编写过程)
Welcome To Myon'Blog !
03-11 473
xff_referer、simple_js(javascript代码审计+超详细脚本编写过程) X-Forwarded-For(XFF),http referer,BurpSuite抓包 , HTML代码简化结构,javascript,Python脚本编写,split函数,ASCII码
XFFReferer(含实操)
热门推荐
slj1552560的博客
02-16 2万+
Part1:XFFReferer基本了解 关于xffreferer维基百科: X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。 HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。简单地说,xff是告诉服务器当前请求者的最终ip的http请求头字段通常可以直接通过修改http
next_frame_par->VPP_hf_ini_phase_ = vpp_zoom_center_x & 0xff;
05-28
这段代码将 "vpp_zoom_center_x" 变量的值与 0xff(二进制为 11111111)进行按位与运算,并将结果赋值给 "next_frame_par->VPP_hf_ini_phase_" 变量。 按位与运算是一种逐位比较两个操作数的二进制位,并返回一个新...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值