如何伪造http头,让后端认为是本地访问

Wcbddd2023-09-07 3:01

0x00 前言

这个知识点纯粹就是为了ctf准备的,很少有系统会出现这种情况。

0x01 正文

1.host头

如果后端从host取值来判断是否是本地就可以通过此方法进行绕过:

csharp 复制代码 
host: 127.0.0.1

2.X-Forwarded-For

X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。Squid 缓存代理服务器的开发人员最早引入了这一HTTP头字段,并由IETF在HTTP头字段标准化草案中正式提出.

那么绕过就是:

csharp 复制代码 
X-Forwarded-For: 127.0.0.1

3.Client-Ip

Client-Ip是用于识别客户端与反向代理之间的真实IP地址。

绕过方式:

csharp 复制代码 
Client-Ip: 127.0.0.1

4.Referer

这个头部就是上一次请求的访问内容,绕过方式:

csharp 复制代码 
Referer: 127.0.0.1
csharp 复制代码 
Referer: http://127.0.0.1
相关推荐
QH1392923188017 分钟前
罗德与施瓦茨 与ZNA43网络分析仪的联合测试流程
网络
晚风(●•σ )17 分钟前
【华为 ICT & HCIA & eNSP 习题汇总】——题目集28
网络·计算机网络·华为·路由器·ensp·交换机
优选资源分享41 分钟前
PDF Anti-Copy Pro v2.6.2.4:PDF 防拷贝工具
网络·安全·pdf
掘根42 分钟前
【仿Muduo库项目】HTTP模块1——Util子模块
网络·网络协议·http
qq_4017004143 分钟前
带宽与网速是一回事吗
网络
C_心欲无痕44 分钟前
网络相关 - Ngrok内网穿透使用
运维·前端·网络
嘿嘿1 小时前
charles iOS 配置证书,抓取https请求
http·测试
Lily48011 小时前
基于优先级的流量控制(PFC)
网络
go_bai1 小时前
Linux-网络基础
linux·开发语言·网络·笔记·学习方法·笔记总结
糖~醋排骨2 小时前
FW防火墙的配置
linux·服务器·网络
热门推荐
01GitHub 镜像站点02Labelme从安装到标注:零基础完整指南03安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)04Linux下V2Ray安装配置指南05Claude Code 2.1.2 升级报错?别折腾了,一行命令搞定06jdk21下载、安装(Windows、Linux、macOS)07【踩坑笔记】50系显卡适配的 PyTorch 安装082025-04-03 Latex学习1——本地配置Latex + VScode环境09KGG转MP3工具|非KGM文件|解密音频10Overleaf编译超时,超出免费计划编译时限(已解决)