本文介绍了通过设置X-Forwarded-For头字段,使用Burpsuite工具伪造本地访问来获取flag的方法。X-Forwarded-For头通常用于标识经过HTTP代理或负载均衡服务器后的客户端真实IP。在安全测试中,这一技巧常用于模拟不同来源的请求。
BUGKU WP-Web28
打开环境发现
脑海里第一个浮现出local host、127.0.0.1,应该和xxf有关。X-Forwarded-For:通过http代理代表客户端及请求端真实的ip,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。附上百度网址https://www.runoob.com/w3cnote/http-x-forwarded-for.html
打开burp suite,在header头上添加X-Forwarded-For:127.0.0.1伪造本地访问
send出flag
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
