如何伪造http头,让后端认为是本地访问

Wcbddd2023-09-07 3:01

0x00 前言

这个知识点纯粹就是为了ctf准备的,很少有系统会出现这种情况。

0x01 正文

1.host头

如果后端从host取值来判断是否是本地就可以通过此方法进行绕过:

csharp 复制代码 
host: 127.0.0.1

2.X-Forwarded-For

X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。Squid 缓存代理服务器的开发人员最早引入了这一HTTP头字段,并由IETF在HTTP头字段标准化草案中正式提出.

那么绕过就是:

csharp 复制代码 
X-Forwarded-For: 127.0.0.1

3.Client-Ip

Client-Ip是用于识别客户端与反向代理之间的真实IP地址。

绕过方式:

csharp 复制代码 
Client-Ip: 127.0.0.1

4.Referer

这个头部就是上一次请求的访问内容,绕过方式:

csharp 复制代码 
Referer: 127.0.0.1
csharp 复制代码 
Referer: http://127.0.0.1
相关推荐
lifejump14 分钟前
Arpspoof | ARP Poisoning及其防护
网络·安全·web安全
小糖学代码3 小时前
网络:4.1加餐 - 进程间关系与守护进程
linux·网络
xinxinhenmeihao4 小时前
隧道代理和住宅IP有何不同》各有什么优缺点?
服务器·网络·tcp/ip
小米里的大麦5 小时前
050 传输层 —— UDP
网络·网络协议·udp
adnyting5 小时前
【Linux日新月异(六)】CentOS 7网络命令深度解析:从传统到现代网络管理
linux·网络·centos
陌路207 小时前
Linux35 TCP状态转换图
网络·网络协议·tcp/ip
Awkwardx7 小时前
Linux网络编程—应用层自定义协议与序列化
linux·网络
k***3888 小时前
Node.js HTTP模块详解:创建服务器、响应请求与客户端请求
服务器·http·node.js
极客BIM工作室9 小时前
LSTM门控机制:本质是神经元构成的小型网络
网络·机器学习·lstm
i***486110 小时前
Nginx中$http_host、$host、$proxy_host的区别
运维·nginx·http
热门推荐
01GitHub 镜像站点02今天 Cloudflare 全球事故,连 GPT 和你的网站都一起“掉线”了03UV安装并设置国内源04安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)05Linux下V2Ray安装配置指南06BongoCat - 跨平台键盘猫动画工具07全球最强模型Grok4,国内已可免费使用!(附教程)08Valdi:Snapchat 开源的新一代跨平台 UI 框架09Labelme从安装到标注:零基础完整指南10swagger xss漏洞复现