攻防世界15:xff-referer

简介: 攻防世界15:xff-referer

首先需要了解什么是xff--代理服务器,通过代理访问服务器,referer:HTTP REFERER 是hesder的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。很多HTTP代理会在HTTP协议头中添加X-Forwarded-For头,用来追踪请求的来源

两种方法:

1.hackbar解法

注意这里使用hackbar是老版本的,不是新版本的

打开题目,显示如图所示,右键-点击检查,来到hackbar界面

点击load将页面链接添加进来

界面变为如上,这就是要求我们Referer改为谷歌浏览器

执行后显示flag

方法2:借助burpsuit

使用burpsuit

构造XFF:X-Forwarded-For:123.123.123.123 注意构造的XFF一定要在Connect:close的上面,要不然可能会出现没有回复的状况

再次构造Referer

显示flag

相关文章
|
1月前
|
存储 搜索推荐 UED
攻防世界09cookie
攻防世界09cookie
|
9月前
|
安全 中间件 Apache
【Web安全】不安全的HTTP方法
围绕渗透攻防层面来看不安全的HTTP方法漏洞的检测发现修复等手法。
367 1
|
数据采集 安全 网络协议
DDoS 攻防之 HTTP Flood|学习笔记
快速学习 DDoS 攻防之 HTTP Flood
940 0
DDoS 攻防之 HTTP Flood|学习笔记
|
1月前
|
缓存 安全 PHP
攻防世界06-get_post
攻防世界06-get_post
|
1月前
|
前端开发 安全 JavaScript
前端安全防护:XSS、CSRF攻防策略与实战
【4月更文挑战第13天】本文探讨了XSS和CSRF攻击的类型、危害及防御方法。XSS攻击通过注入恶意脚本威胁用户安全,分为存储型、反射型和DOM型。CSRF攻击利用用户已登录状态发起恶意请求,可能导致账户状态改变和数据泄露。防御XSS包括输入验证、输出编码和启用Content Security Policy(CSP)。针对CSRF,可使用Anti-CSRF Tokens、设置SameSite Cookie属性和启用HTTPS。开发者应采取这些策略保护用户数据和网站稳定性。
73 0
|
搜索推荐 网络安全
[CTF/网络安全] 攻防世界 xff_referer 解题详析
题目描述:X老师告诉小宁其实xff和referer是可以伪造的。
361 0
|
安全 JavaScript 前端开发
[网络安全]XSS之Cookie外带攻击姿势及例题详析
XSS 的 Cookie 外带攻击就是一种针对 Web 应用程序中的 XSS(跨站脚本攻击)漏洞进行的攻击,攻击者通过在 XSS 攻击中注入恶意脚本,从而窃取用户的 Cookie 信息。
560 0
|
缓存 网络协议 网络安全
渗透测试 网站域名状态码分析
网站上线前需要对网站进行渗透测试,上一节我们Sine安全讲师讲了web的基础知识了解,明白了具体web运行的基础和环境和协议,这一节我们来讨论下域名和DNS工作原理以及http状态码和请求的协议来分析检测中的重点域名收集。
6342 0
|
安全 测试技术 PHP
http TRACE 跨站攻击漏洞测试与防御修复
php、apache、http trace、 跨站攻击
5235 0
|
Web App开发 JavaScript 前端开发

热门文章

最新文章