10、XCTF xff_referer
X
老师告诉小宁其实xff
和referer
是可以伪造的。
拦截数据包,修改数据包。
X-Forwarded-For: 123.123.123.123
这个必须加在http
的请求头。
得到:
必须来自https://www.google.com
再在请求头加上Referer: https://www.google.com
得到flag
,
基础知识:
X-Forwarded-For(XFF)
是用来识别通过HTTP
代理或负载均衡方式连接到Web服务器的客户端最原始的IP
地址的HTTP
请求头字段。
简单地说,xff
是告诉服务器当前请求者的最终ip
的http
请求头字段
通常可以直接通过修改http
头中的X-Forwarded-For
字段来仿造请求的最终ip
。
HTTP
来源地址(referer
,或HTTPreferer
)
是HTTP
表头的一个字段,用来表示从哪儿链接到当前的网页,采用的格式是URL
。换句话说,借着HTTP
来源地址,当前的网页可以检查访客从哪里而来,这也常被用来对付伪造的跨网站请求。
简单的讲,referer
就是告诉服务器当前访问者是从哪个url
地址跳转到自己的,跟xff
一样,referer
也可直接修改。
10、XCTF xff_referer相关推荐
- 10、同步机制遵循的原则_我要遵循的10条原则
10.同步机制遵循的原则 by Haseeb Qureshi 由Haseeb Qureshi 我要遵循的10条原则 (10 Principles I Want to Live By) I just c ...
- 10、ctemplate文档,简记(3)
1.AddSectionDictionary(section_name) returns a sub-dictionary associated with the given section_name ...
- iOS 10、Xcode 8 遇到部分问题解决记录(包括控制台日志不输出)
iOS 10.Xcode 8 遇到部分问题解决记录(包括控制台日志不输出) 参考文章: (1)iOS 10.Xcode 8 遇到部分问题解决记录(包括控制台日志不输出) (2)https://www. ...
- 黑马lavarel教程---10、lavarel模型关联
黑马lavarel教程---10.lavarel模型关联 一.总结 一句话总结: 1.模型关联比较方便,一次定义,后面都可以使用 2.关联关系 使用动态属性进行调用 1.一对多,多对多实例? 一对多: ...
- Java黑皮书课后题第3章:**3.23(几何:点是否在矩形内)编写程序,提示用户输入点(x,y),然后检测该点是否在以原点为中心、宽为10、高为5的矩形中
@TOC,然后检测该点是否在以原点为中心.宽为10.高为5的矩形中) 题目 题目概述 **3.23(几何:点是否在矩形内)编写程序,提示用户输入点(x,y),然后检测该点是否在以原点为中心.宽为10. ...
- 高并发大流量专题---10、MySQL数据库层的优化
高并发大流量专题---10.MySQL数据库层的优化 一.总结 一句话总结: mysql先考虑做分布式缓存,过了缓存后就做mysql数据库层面的优化 1.mysql数据库层的优化的前面一层是什么? 数 ...
- 荣耀v10Android9新功能,荣耀10、荣耀V10开启安卓9.0内测 日常领跑行业
[PConline 资讯]今天(8月9日)早上10点,荣耀总裁赵明发微博宣布荣耀已经有四款机型面向少部分用户推送安卓9.0内部测试版本. 实际上,在8月8日晚上,花粉论坛就已经公布华为4款机型内测安卓 ...
- 10、jeecg 默认为空的字段值是如何被填充的?
10.jeecg 默认为空的字段值是如何被填充的? 1.前言 用过 jeecg 的小伙伴,在 jeecg 实体中常见下面几个字段: /**创建人名称*/ private java.lang.Strin ...
- 知识图谱常用指标:MRR、Hits@1、Hits@10、MR
知识图谱常用指标:MRR.Hits@1.Hits@10.MR 一.MRR MRR的全称是Mean Reciprocal Ranking,其中Reciprocal是指"倒数的"的意思 ...
最新文章
- CentOS中vsftp安装与配置
- 聊聊 scala 的模式匹配
- PTC Creo7.0中文版
- stdthread(1)thread概述
- setiosflags(ios::fixed)和setprecision()
- (47)网页布局常用工具
- 逆向project实战--Afkayas.1
- java连接redis集群
- psp c语言编程软件,PSP2000自制系统3.03OE-C如何傻瓜安装及系统测试
- Spring读源码系列番外篇04----类型转换--上---老旧的PropertyEditor
- 软件开发七宗罪(转发)
- 2016 Micu课堂王铎UI图标设计特训班高级高清原版教程
- 木马是如何编写的(一)
- cobaltstrike如何安装使用(包含CS联动MSF详细用法!)? (゚益゚メ) 渗透测试
- 华为云耀服务器与弹性云服务器的区别
- 计算机专业毕业设计致谢,那些笑哭的毕业论文致谢
- 逆向倾向评分 (Inverse Propensity Scoring, IPS) 原理解析与MF算法的结合使用
- 怎么样在腾讯云服务器桌面环境安装
- 用计算机玩穿越火线,使用电脑玩cf穿越火线出现蓝屏应该如何解决?
- A Transformer-based Framework for Multivariate Time Series Representation Learning(KDD2022)