如何伪造http头,让后端认为是本地访问

0x00 前言

这个知识点纯粹就是为了ctf准备的,很少有系统会出现这种情况。

0x01 正文

1.host头

如果后端从host取值来判断是否是本地就可以通过此方法进行绕过:

csharp 复制代码
host: 127.0.0.1

2.X-Forwarded-For

X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。Squid 缓存代理服务器的开发人员最早引入了这一HTTP头字段,并由IETF在HTTP头字段标准化草案中正式提出.

那么绕过就是:

csharp 复制代码
X-Forwarded-For: 127.0.0.1

3.Client-Ip

Client-Ip是用于识别客户端与反向代理之间的真实IP地址。

绕过方式:

csharp 复制代码
Client-Ip: 127.0.0.1

4.Referer

这个头部就是上一次请求的访问内容,绕过方式:

csharp 复制代码
Referer: 127.0.0.1
csharp 复制代码
Referer: http://127.0.0.1
相关推荐
Mr. Sun_1 天前
Dell Networking SmartFabric OS10 如何设置虚拟链路中继 (VLT)
运维·网络·dell vlt
jfqqqqq1 天前
使用pem和key文件给springboot开启https服务
网络协议·http·https
汪汪大队u1 天前
IPv4与IPv6的对比
运维·网络·智能路由器
Tony Bai1 天前
【Go 网络编程全解】13 从 HTTP/1.1 到 gRPC:Web API 与微服务的演进
开发语言·网络·http·微服务·golang
tan180°1 天前
Linux网络UDP(10)
linux·网络·后端·udp·1024程序员节
qq_310658511 天前
webrtc源码走读(一)-QOS-NACK-概述
网络·webrtc
易ლ拉罐1 天前
【计算机网络】HTTP协议(二)——超文本传输协议
网络·计算机网络·http·1024程序员节
极客范儿1 天前
新华三H3CNE网络工程师认证—STP状态机与收敛过程
服务器·网络·stp·1024程序员节
LCMICRO-133108477461 天前
长芯微LDUM3160完全P2P替代ADUM3160,LDUM3160是一款采用ADI公司iCoupler® 技术的USB端口隔离器
网络·stm32·单片机·嵌入式硬件·网络协议·fpga开发·硬件工程
威迪斯特1 天前
网络环路:隐形威胁的破解之道
网络·流量分析·生成树协议·端口安全·路由过滤·网络环路·广播风暴