如何伪造http头,让后端认为是本地访问

Wcbddd2023-09-07 3:01

0x00 前言

这个知识点纯粹就是为了ctf准备的,很少有系统会出现这种情况。

0x01 正文

1.host头

如果后端从host取值来判断是否是本地就可以通过此方法进行绕过:

csharp 复制代码 
host: 127.0.0.1

2.X-Forwarded-For

X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。Squid 缓存代理服务器的开发人员最早引入了这一HTTP头字段,并由IETF在HTTP头字段标准化草案中正式提出.

那么绕过就是:

csharp 复制代码 
X-Forwarded-For: 127.0.0.1

3.Client-Ip

Client-Ip是用于识别客户端与反向代理之间的真实IP地址。

绕过方式:

csharp 复制代码 
Client-Ip: 127.0.0.1

4.Referer

这个头部就是上一次请求的访问内容,绕过方式:

csharp 复制代码 
Referer: 127.0.0.1
csharp 复制代码 
Referer: http://127.0.0.1
相关推荐
Macbethad12 小时前
EtherCAT从站程序技术方案:基于WPF的高性能实现
网络协议·wpf
Macbethad12 小时前
基于WPF的485主站系统技术方案
网络协议·wpf·信息与通信
阿巴~阿巴~18 小时前
JsonCpp:C++ JSON处理利器
linux·网络·c++·json·tcp·序列化和反序列化
ao_lang18 小时前
数据链路层
linux·服务器·网络
执笔论英雄19 小时前
【RL】python协程
java·网络·人工智能·python·设计模式
不过普通话一乙不改名20 小时前
Linux 网络发包的极致之路:从普通模式到 AF_XDP ZeroCopy
linux·运维·网络
Macbethad20 小时前
Profinet主站程序技术方案
网络协议·信息与通信
4***175420 小时前
linux 网卡配置
linux·网络·php
XiaoCCCcCCccCcccC21 小时前
多路复用 poll -- poll 的介绍,poll 的优缺点,poll 版本的 TCP 回显服务器
服务器·网络·c++
多看书少吃饭1 天前
小程序支持HTTP POST 流式接口吗?
网络协议·http·小程序
热门推荐
01GitHub 镜像站点02UV安装并设置国内源03安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)04BongoCat - 跨平台键盘猫动画工具05Linux下V2Ray安装配置指南06本地部署阿里最新开源的Z-Image07Meta第三代“分割一切”模型——SAM 3本地部署教程:首支持文本提示分割,400万概念、30毫秒响应,检测分割追踪一网打尽0846个Nano-banana 精选提示词,持续更新中09Gemini 3.0 Pro Preview 实测报告10【保姆级教程】免费使用Gemini3的5种方法!免翻墙/国内直连