【攻防世界】CTF web新手08 修改XFF和Referer
什么是XFF和Referer
XFF (X-Forwarded-For) X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。 简单来说,如果把一个HTTP请求看做一个坐公交车上学的学生,那么XFF的作用就是记录下他到学校之间经过的每一个公交车站。这里的“公交车站”就是HTTP请求包实际经过的代理服务器的ip地址。
//XFF在请求头中的格式
X-Forwarded-For: 用户ip, 代理ip1, 代理ip2
用户每经过一个代理服务器,就会在后面跟上代理的ip地址 XFF的应用相当程度的减少了恶意访问检测和预防的难度,但是也带来了其他一些安全问题,比如XFF注入等。
Referer referer在请求包的head中,作用是告诉服务器“我”是从哪个链接过来的
言归正传
打开题目场景,页面提示我们ip地址必须为123.123.123.123 打开fiddler修改XFF 原始请求包中并没有XFF,我们可以自己构造一个新的请求包,并加上XFF 在响应包中找到了这样一行代码,应该就是接下来referer的内容 继续上述步骤,加入referer 在响应包中找到了flag
