大家好,欢迎来到IT知识分享网。
如有错误之处,还请指出,我们共同进步!!!
题目描述
X老师告诉小宁其实xff和referer是可以伪造的。
分析
题目中提到了xff和referer,先看看这俩是啥。
xff
xff的全称是x-forwarded-for,是http头注入参数中的一个,代表了HTTP的请求端真实的IP。xff漏洞攻击是一种SQL注入攻击,一般可以通过修改xff头来伪造IP。
referer
referer也是http头中的参数,它的作用是告诉web服务器自己的来源。这样也可以达到防止盗链和防止恶意请求的效果。
开整
首先使用bp抓包,根据页面提示ip地址必须为123.123.123.123,修改xff(X-Forwarded-For:127.0.0.1)。得到提示必须来自,https://www.google.com。那么接着修改referer得到flag!
cyberpeace{e5b9f397aa880f5dfc11cbb3d56a63bb}
参考资料
- HTTP X-Forwarded-For 介绍
- 渗透测试-XFF漏洞攻击原理及防御方案
- http请求头中Referer的含义和作用
免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://haidsoft.com/137184.html
