如何伪造http头,让后端认为是本地访问

Wcbddd2023-09-07 3:01

0x00 前言

这个知识点纯粹就是为了ctf准备的,很少有系统会出现这种情况。

0x01 正文

1.host头

如果后端从host取值来判断是否是本地就可以通过此方法进行绕过:

csharp 复制代码 
host: 127.0.0.1

2.X-Forwarded-For

X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。Squid 缓存代理服务器的开发人员最早引入了这一HTTP头字段,并由IETF在HTTP头字段标准化草案中正式提出.

那么绕过就是:

csharp 复制代码 
X-Forwarded-For: 127.0.0.1

3.Client-Ip

Client-Ip是用于识别客户端与反向代理之间的真实IP地址。

绕过方式:

csharp 复制代码 
Client-Ip: 127.0.0.1

4.Referer

这个头部就是上一次请求的访问内容,绕过方式:

csharp 复制代码 
Referer: 127.0.0.1
csharp 复制代码 
Referer: http://127.0.0.1
相关推荐
面向星辰16 分钟前
桌面运维岗 day02 计算机硬件_内存条
网络
Cher ~21 分钟前
OSI 七层模型
网络·智能路由器
克喵的水银蛇36 分钟前
Flutter 网络请求实战:Dio 封装 + 拦截器 + 数据解析
网络·flutter
汤愈韬43 分钟前
知识点3:动态目的NAT的配置总结
网络·网络协议·网络安全·security·huawei
00后程序员张2 小时前
HTTPS Everywhere 时代的抓包挑战,从加密流量解析到底层数据流捕获的全流程方案
网络协议·http·ios·小程序·https·uni-app·iphone
CNRio2 小时前
第8章 网络安全应急响应
网络·安全·web安全
风掣长空2 小时前
Google Test (gtest) 新手完全指南:从入门到精通
运维·服务器·网络
发光小北3 小时前
SG-PNh750-TCP-210(Profinet 从站转 Modbus TCP 网关)
网络·网络协议·tcp/ip
轻颂呀4 小时前
TCP协议
linux·网络·网络协议·tcp/ip
松涛和鸣4 小时前
25、数据结构:树与二叉树的概念、特性及递归实现
linux·开发语言·网络·数据结构·算法
热门推荐
01GitHub 镜像站点02React CVE-2025-55182漏洞排查与修复指南03【超详细教程】手把手教你从微软官网免费下载Windows 10官方原版ISO镜像(2025最新版)04安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)05BongoCat - 跨平台键盘猫动画工具06UV安装并设置国内源07智能库存管理的需求预测模型:从业务痛点到落地代码的完整实践08本地部署阿里最新开源的Z-Image09Linux下V2Ray安装配置指南10论文阅读 - 深度学习端到端解决库存管理问题 - 有限时间范围内的多周期补货问题(Management Science)