XCTF攻防世界web新手练习_ 6_xff_referer

本文详细解析了XCTF攻防世界中的xff_referer题目,介绍了如何利用X-Forwarded-For和Referer字段进行攻击,最终获取flag的过程。深入探讨xff和referer的工作原理及其在网络安全中的应用。

XCTF攻防世界web新手练习—xff_referer

题目

题目为xff_referer,描述信息
在这里插入图片描述
根据描述信息,知道题目应该与xff和referer相关
进入题目,看到
在这里插入图片描述
于是用brup抓包,在http头加一条X-Forwarded-For: 123.123.123.123
发送请求在这里插入图片描述
在响应中看到必须来自谷歌
于是再次增加一条Referer: https://www.google.com
再次发送请求,在响应中得到flag!
在这里插入图片描述

关于xff和referer

xff

维基百科:

X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。

简单地说,xff是告诉服务器当前请求者的最终ip的http请求头字段
通常可以直接通过修改http头中的X-Forwarded-For字段来仿造请求的最终ip


Referer

维基百科:

HTTP来源地址(referer,或HTTPreferer)
是HTTP表头的一个字段,用来表示从哪儿链接到当前的网页,采用的格式是URL。换句话说,借着HTTP来源地址,当前的网页可以检查访客从哪里而来,这也常被用来对付伪造的跨网站请求。

简单的讲,referer就是告诉服务器当前访问者是从哪个url地址跳转到自己的,跟xff一样,referer也可直接修改

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值