如何伪造http头,让后端认为是本地访问

Wcbddd2023-09-07 3:01

0x00 前言

这个知识点纯粹就是为了ctf准备的,很少有系统会出现这种情况。

0x01 正文

1.host头

如果后端从host取值来判断是否是本地就可以通过此方法进行绕过:

csharp 复制代码 
host: 127.0.0.1

2.X-Forwarded-For

X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。Squid 缓存代理服务器的开发人员最早引入了这一HTTP头字段,并由IETF在HTTP头字段标准化草案中正式提出.

那么绕过就是:

csharp 复制代码 
X-Forwarded-For: 127.0.0.1

3.Client-Ip

Client-Ip是用于识别客户端与反向代理之间的真实IP地址。

绕过方式:

csharp 复制代码 
Client-Ip: 127.0.0.1

4.Referer

这个头部就是上一次请求的访问内容,绕过方式:

csharp 复制代码 
Referer: 127.0.0.1
csharp 复制代码 
Referer: http://127.0.0.1
相关推荐
无限大.12 小时前
为什么游戏需要“加载时间“?——从硬盘读取到内存渲染
网络·人工智能·游戏
-To be number.wan12 小时前
两道经典IP子网题解析|掌握CIDR与广播地址的奥秘
网络·网络协议·tcp/ip·计算机网络
德迅云安全-小娜13 小时前
主机安全功能:主机的风险与监测
网络·安全
科技块儿13 小时前
【需求:GDPR合规下做地域定向】解决方案:仅用IP离线库输出国家码,不存原始IP?
服务器·网络·tcp/ip
不知疲倦的仄仄13 小时前
第一天:从 ByteBuffer 内存模型到网络粘包处理实战
java·网络·nio
testpassportcn13 小时前
Technology Solutions Professional NS0-005 認證介紹【NetApp 官方認證
网络·学习·改行学it
C_心欲无痕13 小时前
网络相关 - http1.1 与 http2
前端·网络
小白电脑技术13 小时前
网络进阶教程:节点小宝中心节点策略的反向使用方法!
网络·电脑
lin张13 小时前
Kubernetes 核心网络方案与资源管理(一)
网络·容器·kubernetes
学烹饪的小胡桃13 小时前
WGCAT工单系统操作指南,如何将工单指派给多人处理
linux·运维·服务器·网络·工单系统
热门推荐
01GitHub 镜像站点02安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)03Linux下V2Ray安装配置指南04手把手教你通过Gemini3 pro 学生认证,白用一年,手慢无!05Labelme从安装到标注:零基础完整指南06jdk21下载、安装(Windows、Linux、macOS)07GitLab 零基础入门指南:从安装到项目管理全流程08UV安装并设置国内源09【踩坑笔记】50系显卡适配的 PyTorch 安装102025-04-03 Latex学习1——本地配置Latex + VScode环境