题目描述:X老师告诉小宁其实xff和referer是可以伪造的。
1. 简单介绍下什么是xff和referer
xff(X-Forwarded-For):是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。这个字段是一个头部字段,目的在于记录用户访问web服务器过程中的真实IP和经过的代理服务器的IP。假设用户IP为ip1, 经过代理服务器IPip2,ip3访问到web服务器,则X-Forwarded-For: ip1, ip2, ip3.
referer:这个也是header的一部分,表示访问者进入网站的任何途径。当浏览器向发出web服务器请求的时候,一般会带上Referer,告诉服务器用户从那个页面连接过来的,服务器藉此可以获得一些信息用于处理。
2. 根据题目描述,ip地址必须为123.123.123.123,那我们先将xff设置为该IP
3. 将referer设置为https://www.google.com,成功拿到flag
总结:很基础的一道题,主要目的在于说明XFF和referer这两个值的不可信,是可以被篡改的,使用时需要慎重。