如何伪造http头,让后端认为是本地访问

Wcbddd2023-09-07 3:01

0x00 前言

这个知识点纯粹就是为了ctf准备的,很少有系统会出现这种情况。

0x01 正文

1.host头

如果后端从host取值来判断是否是本地就可以通过此方法进行绕过:

csharp 复制代码 
host: 127.0.0.1

2.X-Forwarded-For

X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。Squid 缓存代理服务器的开发人员最早引入了这一HTTP头字段,并由IETF在HTTP头字段标准化草案中正式提出.

那么绕过就是:

csharp 复制代码 
X-Forwarded-For: 127.0.0.1

3.Client-Ip

Client-Ip是用于识别客户端与反向代理之间的真实IP地址。

绕过方式:

csharp 复制代码 
Client-Ip: 127.0.0.1

4.Referer

这个头部就是上一次请求的访问内容,绕过方式:

csharp 复制代码 
Referer: 127.0.0.1
csharp 复制代码 
Referer: http://127.0.0.1
相关推荐
Dovis(誓平步青云)7 分钟前
《拆解Linux中的IP协议与数据链路层:地址、路由与分片的底层逻辑》
linux·网络·tcp/ip
专业开发者9 分钟前
施泰纳尔公司如何借助蓝牙 Mesh 网络节约能源成本,并将照明系统升级为智能物联网核心中枢
网络·物联网
代码游侠14 分钟前
复习——SQLite3 数据库
linux·服务器·数据库·笔记·网络协议·sqlite
chenyuhao20242 小时前
Linux网络编程:传输层协议UDP
linux·服务器·网络·后端·udp
米羊1216 小时前
fastjson (3修复)
网络·网络协议·安全
oMcLin10 小时前
Ubuntu 22.04 无法连接外部网络的故障排查与解决(解决 DNS 配置问题)
linux·网络·ubuntu
小李独爱秋12 小时前
计算机网络经典问题透视:常规密钥体制与公钥体制最主要的区别是什么?—— 一文带你从“钥匙”看懂现代密码学核心
服务器·网络·tcp/ip·计算机网络·密码学
千百元12 小时前
限制网段访问服务器端口63790
java·网络·mybatis
bst@微胖子13 小时前
Linux下排查网络偶现超时问题
linux·网络·dubbo
几道之旅13 小时前
websocket.WebSocketApp是全双工的吗?
网络·websocket·网络协议
热门推荐
01GitHub 镜像站点02jdk21下载、安装(Windows、Linux、macOS)03Linux下V2Ray安装配置指南04手把手教你通过Gemini3 pro 学生认证,白用一年,手慢无!05Claude Code Skills 实用使用手册062025 最新教程:注册并切换到美区 Apple ID07UV安装并设置国内源08【踩坑笔记】50系显卡适配的 PyTorch 安装09KGG转MP3工具|非KGM文件|解密音频10安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)