X老师告诉小宁其实xffreferer是可以伪造的。
拦截数据包,修改数据包。

X-Forwarded-For: 123.123.123.123

这个必须加在http的请求头。
得到:
必须来自https://www.google.com
再在请求头加上Referer: https://www.google.com
得到flag
基础知识:
X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。
简单地说,xff是告诉服务器当前请求者的最终iphttp请求头字段
通常可以直接通过修改http头中的X-Forwarded-For字段来仿造请求的最终ip
HTTP来源地址(referer,或HTTPreferer
HTTP表头的一个字段,用来表示从哪儿链接到当前的网页,采用的格式是URL。换句话说,借着HTTP来源地址,当前的网页可以检查访客从哪里而来,这也常被用来对付伪造的跨网站请求。
简单的讲,referer就是告诉服务器当前访问者是从哪个url地址跳转到自己的,跟xff一样,referer也可直接修改。

10、XCTF xff_referer相关推荐

  1. 10、同步机制遵循的原则_我要遵循的10条原则

    10.同步机制遵循的原则 by Haseeb Qureshi 由Haseeb Qureshi 我要遵循的10条原则 (10 Principles I Want to Live By) I just c ...

  2. 10、ctemplate文档,简记(3)

    1.AddSectionDictionary(section_name) returns a sub-dictionary associated with the given section_name ...

  3. iOS 10、Xcode 8 遇到部分问题解决记录(包括控制台日志不输出)

    iOS 10.Xcode 8 遇到部分问题解决记录(包括控制台日志不输出) 参考文章: (1)iOS 10.Xcode 8 遇到部分问题解决记录(包括控制台日志不输出) (2)https://www. ...

  4. 黑马lavarel教程---10、lavarel模型关联

    黑马lavarel教程---10.lavarel模型关联 一.总结 一句话总结: 1.模型关联比较方便,一次定义,后面都可以使用 2.关联关系 使用动态属性进行调用 1.一对多,多对多实例? 一对多: ...

  5. Java黑皮书课后题第3章:**3.23(几何:点是否在矩形内)编写程序,提示用户输入点(x,y),然后检测该点是否在以原点为中心、宽为10、高为5的矩形中

    @TOC,然后检测该点是否在以原点为中心.宽为10.高为5的矩形中) 题目 题目概述 **3.23(几何:点是否在矩形内)编写程序,提示用户输入点(x,y),然后检测该点是否在以原点为中心.宽为10. ...

  6. 高并发大流量专题---10、MySQL数据库层的优化

    高并发大流量专题---10.MySQL数据库层的优化 一.总结 一句话总结: mysql先考虑做分布式缓存,过了缓存后就做mysql数据库层面的优化 1.mysql数据库层的优化的前面一层是什么? 数 ...

  7. 荣耀v10Android9新功能,荣耀10、荣耀V10开启安卓9.0内测 日常领跑行业

    [PConline 资讯]今天(8月9日)早上10点,荣耀总裁赵明发微博宣布荣耀已经有四款机型面向少部分用户推送安卓9.0内部测试版本. 实际上,在8月8日晚上,花粉论坛就已经公布华为4款机型内测安卓 ...

  8. 10、jeecg 默认为空的字段值是如何被填充的?

    10.jeecg 默认为空的字段值是如何被填充的? 1.前言 用过 jeecg 的小伙伴,在 jeecg 实体中常见下面几个字段: /**创建人名称*/ private java.lang.Strin ...

  9. 知识图谱常用指标:MRR、Hits@1、Hits@10、MR

    知识图谱常用指标:MRR.Hits@1.Hits@10.MR 一.MRR MRR的全称是Mean Reciprocal Ranking,其中Reciprocal是指"倒数的"的意思 ...

最新文章

  1. CentOS中vsftp安装与配置
  2. 聊聊 scala 的模式匹配
  3. PTC Creo7.0中文版
  4. stdthread(1)thread概述
  5. setiosflags(ios::fixed)和setprecision()
  6. (47)网页布局常用工具
  7. 逆向project实战--Afkayas.1
  8. java连接redis集群
  9. psp c语言编程软件,PSP2000自制系统3.03OE-C如何傻瓜安装及系统测试
  10. Spring读源码系列番外篇04----类型转换--上---老旧的PropertyEditor
  11. 软件开发七宗罪(转发)
  12. 2016 Micu课堂王铎UI图标设计特训班高级高清原版教程
  13. 木马是如何编写的(一)
  14. cobaltstrike如何安装使用(包含CS联动MSF详细用法!)? (゚益゚メ) 渗透测试
  15. 华为云耀服务器与弹性云服务器的区别
  16. 计算机专业毕业设计致谢,那些笑哭的毕业论文致谢
  17. 逆向倾向评分 (Inverse Propensity Scoring, IPS) 原理解析与MF算法的结合使用
  18. 怎么样在腾讯云服务器桌面环境安装
  19. 用计算机玩穿越火线,使用电脑玩cf穿越火线出现蓝屏应该如何解决?
  20. A Transformer-based Framework for Multivariate Time Series Representation Learning(KDD2022)

热门文章

  1. SpringBoot+thymeleaf 局部刷新
  2. 鸿蒙钉钉app,钉钉鸿蒙版下载_钉钉手机鸿蒙版下载_玩游戏网
  3. Excel的发展历史
  4. CMMI评估--SCAMPI
  5. 使用Pytorch实现手写数字识别(Mnist数据集)
  6. 【办公-excel】VBA 选择文件、文件夹
  7. 禁止遮罩层以下屏幕滑动
  8. ssm体育课堂管理系统 毕业设计-附源码181626
  9. BUGKU------extract变量覆盖
  10. 出现高并发的几种问题