攻防世界——新手区——xff_referer
题目提示 xff和referer是可以伪造的。
直接上burpsuite
因为题目要求,ip必须为123.123.123。所以抓包后添加
X-Forwarded-for:123.123.123.123
发包
可以看到,题目要求是必须来自https://www.google.com。再添加
referer:https://www.google.com
发包
获得了flag。
知识点
什么是 xff ?
X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。
Squid 缓存代理服务器的开发人员最早引入了这一HTTP头字段,并由IETF在HTTP头字段标准化草案中正式提出。
用来获得http请求端的真实ip
什么是 referer ?
HTTP
Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。