这篇博客讲述了通过抓包工具修改HTTP头部信息,包括Referer和User-Agent,来绕过网站访问限制的方法。作者首先发现了一个隐藏链接secret.php,并通过删除view-source:前缀查看源码。接着,通过添加Referer字段模拟来自特定URL的请求,然后修改User-Agent为指定的Syclover浏览器。最后,通过设置X-Forwarded-For为127.0.0.1实现本地访问。整个过程展示了网络安全中常见的反爬与反反爬策略。
于是我,摸鱼来了→_→
这道题没什么难度
没给连接,手动输入
乍一看还以为是个广告植入(雾)
看源码:
看见一个神秘连接:secret.php,点进去
URL前删掉 view-source: (顺带一提,这也是打开页面源码的一种方式,以前有道题死活打不开源码差点让我emo了)
删掉后得到了路上页面。
It doesn't come from 'https://Sycsecret.buuoj.cn'
言简意赅,意思是要从https://Sycsecret.buuoj.cn来访问secret.php。
那么如何来访问呢?
抓包改包。
他说要来自https://Sycsecret.buuoj.cn,在文件头加上Referer
结果回显:
请使用Syclover浏览器。
继续抓包,该客户端。
在User-Agent这一栏里把浏览器修改为题目所说的Syclover浏览器(什么玩意T_T)
再次发送!
。。。 。。。
额
要求只能从本地访问。
再次抓包,修改访问从本地发起。
在文件头中加入
X-Forwarded-For,并加上127.0.0.1,发送。
好耶!
——————我——是——分——割——线——————————
()
1&Referer
HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。Referer 常用在防盗链和防恶意请求中。传输referer需要在页面内添加相关的代码。
2&User-Agent
用来传输用户使用的是什么样的浏览器。有些网站为了防止爬虫,会检验User-Agent,只有当是用户访问的时候才会传输数据。
3&X-Forwarded-For
X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。当今多数缓存服务器的用户为大型ISP,为了通过缓存的方式来降低他们的外部带宽,他们常常通过鼓励或强制用户使用代理服务器来接入互联网。有些情况下,这些代理服务器是透明代理,用户甚至不知道自己正在使用代理上网。
如果没有XFF或者另外一种相似的技术,所有通过代理服务器的连接只会显示代理服务器的IP地址,而非连接发起的原始IP地址,这样的代理服务器实际上充当了匿名服务提供者的角色,如果连接的原始IP地址不可得,恶意访问的检测与预防的难度将大大增加。
如果你使用透明代理上网,那么在透明代理发送给服务器端的HTTP请求中会包含x-forward-for信息
简单来说就是用来传输最原始ip地址的,阻止匿名请求的,但是可以通过抓包来修改。
扫一扫
375
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
