XCTF攻防世界web新手练习—xff_referer
题目
题目为xff_referer,描述信息

根据描述信息,知道题目应该与xff和referer相关
进入题目,看到

于是用brup抓包,在http头加一条X-Forwarded-For: 123.123.123.123
发送请求
在响应中看到必须来自谷歌
于是再次增加一条Referer: https://www.google.com
再次发送请求,在响应中得到flag!

关于xff和referer
xff
维基百科:
X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。
简单地说,xff是告诉服务器当前请求者的最终ip的http请求头字段
通常可以直接通过修改http头中的X-Forwarded-For字段来仿造请求的最终ip
Referer
维基百科:
HTTP来源地址(referer,或HTTPreferer)
是HTTP表头的一个字段,用来表示从哪儿链接到当前的网页,采用的格式是URL。换句话说,借着HTTP来源地址,当前的网页可以检查访客从哪里而来,这也常被用来对付伪造的跨网站请求。
简单的讲,referer就是告诉服务器当前访问者是从哪个url地址跳转到自己的,跟xff一样,referer也可直接修改
本文详细解析了XCTF攻防世界中的xff_referer题目,介绍了如何利用X-Forwarded-For和Referer字段进行攻击,最终获取flag的过程。深入探讨xff和referer的工作原理及其在网络安全中的应用。
7838

被折叠的 条评论
为什么被折叠?



