XCTF攻防世界web新手练习_ 6_xff_referer
XCTF攻防世界web新手练习—xff_referer
题目
题目为xff_referer,描述信息
根据描述信息,知道题目应该与xff和referer相关
进入题目,看到
因而用brup抓包,在http头加一条X-Forwarded-For: 123.123.123.123
发送请求
在响应中看到必须来自谷歌
因而再次增长一条Referer: https://www.google.com
再次发送请求,在响应中获得flag!
web
关于xff和referer
xff
维基百科:服务器
X-Forwarded-For(XFF)是用来识别经过HTTP代理或负载均衡方式链接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。负载均衡
简单地说,xff是告诉服务器当前请求者的最终ip的http请求头字段
一般能够直接经过修改http头中的X-Forwarded-For字段来仿造请求的最终ip
svg
Referer
维基百科:网站
HTTP来源地址(referer,或HTTPreferer)
是HTTP表头的一个字段,用来表示从哪儿连接到当前的网页,采用的格式是URL。换句话说,借着HTTP来源地址,当前的网页能够检查访客从哪里而来,这也常被用来对付伪造的跨网站请求。google
简单的讲,referer就是告诉服务器当前访问者是从哪一个url地址跳转到本身的,跟xff同样,referer也可直接修改url