攻防世界15:xff-referer

简介: 攻防世界15:xff-referer

首先需要了解什么是xff--代理服务器,通过代理访问服务器,referer:HTTP REFERER 是hesder的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。很多HTTP代理会在HTTP协议头中添加X-Forwarded-For头,用来追踪请求的来源

两种方法:

1.hackbar解法

注意这里使用hackbar是老版本的,不是新版本的

打开题目,显示如图所示,右键-点击检查,来到hackbar界面

点击load将页面链接添加进来

界面变为如上,这就是要求我们Referer改为谷歌浏览器

执行后显示flag

方法2:借助burpsuit

使用burpsuit

构造XFF:X-Forwarded-For:123.123.123.123 注意构造的XFF一定要在Connect:close的上面,要不然可能会出现没有回复的状况

再次构造Referer

显示flag

相关文章
|
1月前
|
存储 搜索推荐 UED
攻防世界09cookie
攻防世界09cookie
|
9月前
|
安全 中间件 Apache
【Web安全】不安全的HTTP方法
围绕渗透攻防层面来看不安全的HTTP方法漏洞的检测发现修复等手法。
405 1
|
数据采集 安全 网络协议
DDoS 攻防之 HTTP Flood|学习笔记
快速学习 DDoS 攻防之 HTTP Flood
951 0
DDoS 攻防之 HTTP Flood|学习笔记
|
1月前
|
缓存 安全 PHP
攻防世界06-get_post
攻防世界06-get_post
|
9月前
|
安全 测试技术 网络安全
D盾防火墙安全防护绕过-[文件上传]
D盾防火墙安全防护绕过-[文件上传]
322 0
|
10月前
|
安全 应用服务中间件 Apache
|
搜索推荐 网络安全
[CTF/网络安全] 攻防世界 xff_referer 解题详析
题目描述:X老师告诉小宁其实xff和referer是可以伪造的。
372 0
|
数据采集 Python
绕过HTTPS请求中的TLS特征识别及反爬机制
使用 urllib.request 库进行 HTTPS 请求时,可能会出现 TLS 特征被识别的情况,可以考虑以下一些方法来绕过反爬机制:使用代理 IP、修改请求头部信息、降低请求频率或使用其他语言库,如 aiohttp、 Scrapy、Selenium 等,来进行复杂的反爬处理。 这段代码实现了一个基于 asyncio 和 aiohttp 的异步百度百科查询工具,具有较高的并发性能和响应速度,同时通过爬虫代理加强版IP和随机User-Agent能够提高采集的效率。
377 0
绕过HTTPS请求中的TLS特征识别及反爬机制
|
JSON 网络协议 PHP
关于伪造ip的可行性
关于伪造ip的可行性
126 0
关于伪造ip的可行性
|
Web App开发 缓存 Apache
HTTP Header 详解,互联网营销
HTTP(HyperTextTransferProtocol)即超文本传输协议,目前网页传输的的通用协议。HTTP协议采用了请求/响应模型,浏览器或其他客户端发出请求,服务器给与响应。就整个网络资源传输而言,包括message-header和message-body两部分。
1024 0