如何伪造http头,让后端认为是本地访问

Wcbddd2023-09-07 3:01

0x00 前言

这个知识点纯粹就是为了ctf准备的,很少有系统会出现这种情况。

0x01 正文

1.host头

如果后端从host取值来判断是否是本地就可以通过此方法进行绕过:

csharp 复制代码 
host: 127.0.0.1

2.X-Forwarded-For

X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。Squid 缓存代理服务器的开发人员最早引入了这一HTTP头字段,并由IETF在HTTP头字段标准化草案中正式提出.

那么绕过就是:

csharp 复制代码 
X-Forwarded-For: 127.0.0.1

3.Client-Ip

Client-Ip是用于识别客户端与反向代理之间的真实IP地址。

绕过方式:

csharp 复制代码 
Client-Ip: 127.0.0.1

4.Referer

这个头部就是上一次请求的访问内容,绕过方式:

csharp 复制代码 
Referer: 127.0.0.1
csharp 复制代码 
Referer: http://127.0.0.1
相关推荐
那就回到过去4 小时前
IP组播技术(2)
网络·网络协议·tcp/ip·智能路由器·ensp
有一个好名字4 小时前
简易版RPC框架实现
网络·网络协议·rpc
任聪聪5 小时前
《蜉蝣文明》文明收割培养皿与更高空间维度入场卷。
网络·人工智能·深度学习
二哈哈黄5 小时前
握手协议打拍
网络
阿豪学编程5 小时前
【Linux】网络基础
网络
Anthony_2315 小时前
五、交换技术与VLAN
服务器·网络·网络协议·http·https·udp·信息与通信
梁洪飞5 小时前
使用rockchip sdk提供的uboot调通网络
linux·网络·arm开发·嵌入式硬件·arm
fanruitian5 小时前
k8s 创建service 暴漏集群ip
服务器·网络·kubernetes
Ar呐6 小时前
HCIP-Datacom-Core Technology~OSPF特殊区域及其他特性
网络
yingzicat6 小时前
华为和华三交换机和路由器时间配置
网络·华为
热门推荐
01GitHub 镜像站点02OpenCode 入门教程:介绍 · 安装 · 配置第三方 API (如 Claude)03Linux下V2Ray安装配置指南04Claude Code Skills 实用使用手册05Open Code教程(四)| 高级配置与集成06UV安装并设置国内源07BongoCat - 跨平台键盘猫动画工具08MC.JS 网页版《我的世界》 免安装中文版09安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)10在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)