攻防世界 xff_referer 题目解析

已于 2024-04-04 22:51:29 修改
阅读量945 收藏 19
点赞数 20
文章标签: web安全 安全 网络安全
于 2024-04-04 22:46:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ting_liang/article/details/137384483
版权

xff_referer

一:了解xxf和Referer

X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。

         一般的客户端发送HTTP请求没有X-Forwarded-For头的,当请求到达第一个代理服务器时,代理服务器会加上X-Forwarded-For请求头,并将值设为客户端的IP地址(也就是最左边第一个值),后面如果还有多个代理,会依次将IP追加到X-Forwarded-For头最右边,最终请求到达Web应用服务器,应用通过获取X-Forwarded-For头取左边第一个IP即为客户端真实IP。

HTTTP Referer 是header的一部分 ,在浏览器向web服务器发送请求的时候,一般都会带上refere,告诉服务器我是从哪个页面链接来的。

        比如:我在www.google.com 里有一个www.baidu.com 链接,那么点击这个www.baidu.com ,它的header 信息里就有: Referer=http://www.google.com

如果是CSRF(跨站请求伪造)传来的请求,referer字段就会是包含恶意网址的地址,服务器就能识别出恶意访问。

 步骤一:打开网站发现这个,然后使用Burp-suite

步骤二:进行抓包重发至重发器,如图所示

步骤三:将这个加入到下面,如图所示,进行发送会发现https://www.google.com

X-Forwarded-For:123.123.123.123

步骤四:将https://www.google.com加入到里面,会发现flag出来了

Referer:https://www.google.com

提交即可成功!!!

网络安全 | CTF】攻防世界 xff_referer 解题详析
等风来
05-21 7269
(简称 XFF)是一个 HTTP 请求部字段,它用于表示 HTTP 请求的客户端 IP 地址,尤其是当请求通过一个中介代理或负载均衡器时。该字段的值通常是一个逗号分隔的 IP 地址列表,其中第一个 IP 地址是最初连接到中介代理或负载均衡器的客户端 IP 地址。因为在这种情况下,服务器只能看到请求的中介代理或负载均衡器的 IP 地址,而无法直接获取客户端的真实 IP 地址。是另一个 HTTP 请求部字段,它包含了当前请求的来源页面 URL 地址,即前一个页面的 URL 地址。
攻防世界web新手区题目解析
Onlyguard的博客
04-12 1086
web新手区题目解析 view_source robots backup cookie disabled_button weak_auth simple_php get post xff_referer webshell command_execution simple_js view_source 这个题就直接看页面源代码,就会发现flag robots 对robots协议有一定的了解之...
XFFReferer(含实操)
热门推荐
slj1552560的博客
02-16 2万+
Part1:XFFReferer基本了解 关于xffreferer维基百科: X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求字段。 HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。简单地说,xff是告诉服务器当前请求者的最终ip的http请求字段通常可以直接通过修改http
攻防世界xff_referer(writeup)
最新发布
2301_81813216的博客
03-17 259
XFF(X-Forwarded-For)是HTTP请求中的一个字段,用于在请求经过代理服务器或负载均衡器时,标识原始客户端的IP地址。主要用来让Web服务器获取访问用户的真实IP地址。在代理转发及反向代理等场景下,服务器只能看到代理服务器的IP地址,而无法直接获取到真实客户端的IP地址,XFF可以解决这一问题。HTTP Referer是HTTP请求中的一个可选字段,用于标识请求的来源页面。网站所有者可以通过Referer了解用户是从哪个页面链接到他们的网站的,从而分析流量来源、用户行为等。
攻防世界(WEB) xff_referer
qq_54929891的博客
08-26 2178
首先做之前,先去了解一下xffreferer是什么东西 xff:X-Forwarded-For(header里面的一部分) 就是浏览器访问一个网站的ip地址 详细可以看另一位博主https://blog.youkuaiyun.com/weixin_43605586/article/details/100607877?utm_term=xff%E6%98%AF%E4%BB%80%E4%B9%88%E4%B9%88&utm_medium=distribute.pc_aggpage_search_result.
攻防世界-web xff_Referer
m0_53533553的博客
09-11 2496
xff_Referer 扩展 xff Romote Address xff简称X-Forwarded-For X-Forwarded-For 是一个 HTTP 扩展部,是用来识别通过HTTP代理,或,负载均衡方式,连接到Web服务器的客户端最原始的IP地址,的HTTP请求字段。 主要是为了让 Web 服务器获取访问用户的真实 IP 地址。 那为什么 Web 服务器只有通过 X-Forwarded-For 才能获取真实的 IP? Remote Address代表的是当前HTTP请求的远程地址,即HTTP
攻防世界-web-xff_referer
wuh2333的博客
04-16 977
攻防世界xff, referer
CTF-WEB(攻防世界题目-新手区)
皮卡乒的皮卡乓
09-27 3591
CTF-WEB新手区view_sourcerobotsbackup 新手区 view_source 题目:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 解:右键有用不了,那就直接用F12,查看源码 可以看到这里的注释即为Flag robots 题目:X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。 解: 一进来,啥也没有。根据题目,是robots协议: robots协议也叫robots.txt(统一小写)是一种存放于网站根目录
猿人学web端爬虫攻防大赛赛题解析_第一题:源码乱码
仙路尽头谁为峰
10-26 1万+
第一题:js 混淆 - 源码乱码1、前言2、题目理解3、逆向(踩坑)分析过程3.1、初步分析3.2、当一棒3.3、循序渐进3.4、大功告成4、结语 1、前言 接触网络爬虫已经有两三年了,但其实一直没系统的学习过,都是在偶尔有爬数据需求时在网上找教程,应对一些普通的静态网页或者是没有加密参数的ajax请求时没有问题,但现在各类网站越发注重数据保护,制定了很多反爬虫措施,以至于我现有的那点技术储备面对各种花式反扒虫显得捉襟见肘,痛定思痛,还是要认真系统的学习下相关知识。恰巧最近关注的爬虫大佬王平办了个爬虫攻防
WEB CTF入门题解析
攻防人生3722的博客
07-30 8181
WEB CTF入门学习 入门题1 view_source X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 答案:cyberpeace{ffbb0c3dcdb78ed0674f699dc967ce67} 解析:打开网址http://220.249.52.133:31520/,F12调试模式,查看源码,即可发现flag: cyberpeace{ffbb0c3dcdb78ed0674f699dc967ce67} 入门题2 get_post 题目描述:X老师告诉小宁同学HTTP
攻防世界Web新手区部分解
weixin_51334923的博客
10-20 680
好,鸽了这么旧,学业繁忙的我就出一篇简单的攻防世界Web新手区的WriteUp吧,顺带作为自己的复习笔记。 攻防世界 (xctf.org.cn) 转存失败重新上传取消 攻防世界,一大CTFers的网站,上面有在线靶场以及竞赛等资源,推荐初学者上去学习。 我们今天看一下Web新手区的一些WP吧! 1.view_source 基础的第一关,却是后面无数关的基础。 作为一个Web手,查看网页源代码是必须会的一件事情!! 点进网页一看: flag不在这里,那应该在源代码里。
攻防世界web新手关之xff_referer
weixin_45746283的博客
11-16 2141
攻防世界web新手关之xff_referer
攻防世界----xff_referer
qq_45021843的博客
09-23 757
该题结合抓包、改包,考察XFFreferer,读者可躬身实践。我们下次再见喽。
攻防世界 - Web - Level 2 | xff_referer
Blue17 の 小窝
12-20 1227
获取客户端IP一、标题网络上常见的请求1、X-Forwarded-For2、Proxy-Client-IP3、WL- Proxy-Client-IP4、HTTP_CLIENT_IP5、X-Real-IP二、注意事项1、非标准请求2、不一定存在3、多重代理顺序4、请求伪造三、代码场景样例一、标题网络上常见的请求1、X-Forwarded-For这是一个 Squid 开发的字段,只有在通过了 HTTP 代理或者负载均衡服务器时才会添加该项。字段用于表名我是从哪个页面发起的请求,比如我在。
攻防世界 Web xff_referer
Emjl__的博客
05-10 2694
题目描述中说道 xffreferer 是可以伪造的。而这道题中我们就来伪造这二者。 X-Forward-For(xff)是客户端连接到网页的ip,referer是客户从哪个网页来访问的当前页面。 打开 burp suite ,对网页抓包,发送给重发器(repeater)。 要求 ip 为123.123.123.123,就在请求中添加 X-Forwarded-For: 123.123.123.123 发送。 审查响应,发现要求客户从https://www.google.com发起请求。
攻防世界 web xff_referer
Kni9hT's Blog
03-01 697
真棒!每个web题都能学点新东西,而且感觉很nb的样子。不像pwn,wtnl… 本题涉及: XFF: X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求字段。 referer: HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页...
攻防世界xff和refereer
m0_73303597的博客
11-09 931
紫铜
攻防世界——xff_referer
weixin_73668856的博客
11-23 936
新手web
攻防世界-xff_referer
m0_49025459的博客
12-30 375
抓包看看,打开场景,页面提示我们ip必须是123.123.123.123,我们就想到burpsuite抓包,添加上X-Forwarded-For:123.123.123.123。我们看到页面提示必须来自https://www.google.com,那我们添加Referer:https://www.google.com。
攻防世界 xff_referer hackbar
02-25
### 攻防世界 XFF Referer HackBar 使用教程 #### 1. X-Forwarded-For (XFF) 和 Referer 简介 X-Forwarded-For (XFF) 是 HTTP 请求的一部分,通常由代理服务器添加,用于标识客户端 IP 地址。Referer 则告知服务器当前请求是从哪个 URL 发起的。这两个部信息可以被拦截并篡改,从而实现伪造 IP 或来源页面的效果[^1]。 #### 2. 安装和配置 HackBar 插件 为了方便操作这些 HTTP 部信息,推荐使用 HackBar 浏览器插件: - **获取 HackBar** - 可以从 GitHub 上找到无需 License 的版本进行下载[^3]。 - **安装过程** - 将下载好的文件夹解压缩; - 进入浏览器设置 -> 更多工具 -> 扩展程序; - 启用开发者模式,点击加载已解压的扩展程序; - 选择刚刚解压出来的目录完成加载; #### 3. 利用 HackBar 修改 XFFReferer 一旦成功安装好 HackBar 工具,在实际应用过程中就可以轻松更改上述两个重要的 HTTP 请求字段了: ```bash # 设置自定义的 X-Forwarded-For 值 X-Forwarded-For: 123.123.123.123 # 自定义 Referer 字段的内容 Referer: http://example.com/ ``` 以上命令可以直接输入到 HackBar 提供的操作界面里执行,以此达到伪装真实访问源的目的[^4]。 #### 4. 注意事项 尽管能够利用此类技术手段来进行安全测试或学习研究,但在未经授权的情况下对他人网站实施任何形式的攻击都是违法行为,请务必遵守法律法规以及道德准则!
评论 15
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ting~liang

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值