一道考察http请求头X-Forwarded-For字段和Referer字段User-Agent字段的题目
一、基础知识
- X-Forwarded-For(XFF)又名XFF头
1)概述:X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。 Squid 缓存代理服务器的开发人员最早引入了这一HTTP头字段,并由IETF在HTTP头字段标准化草案中正式提出。
2)作用:获得HTTP请求端的真是IP
3)格式: X-Forwarded-For: client1, proxy1, proxy2, proxy3 其中client1是原始客户端的IP,后面接着是代理服务器的IP
- Referer请求头字段
1)概述:Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。
2)作用:告诉服务器该请求是通过哪个页面发送过来的,从而使服务器进行对应的处理。
3)格式:Referer:url(此处为页面链接)
- User-Agent请求头字段
1)概述:User-Agent是HTTP请求中用来检查浏览页面的访问者在用什么操作系统(包括版本号)浏览器(包括版本号)和用户个人偏好的字段。
2)作用:告知服务器访问页面的客户是什么操作系统(包括版本号)浏览器(包括版本号)和用户个人偏好
3)格式:User-Agent:Mozilla/5.0 (平台) 引擎版本 浏览器版本号 (此为通常格式)
二、解题过程
查看网页源代码
在此处发现一个链接Secret.php
访问后得到
根据提示要修改改Referer头为https://Sycsecret.buuoj.cn,在请求头中添加Referer:https://Sycsecret.buuoj.cn字段发送请求后得到响应为
又根据提示更改User-Agent为"Syclover" browser发送请求
提示要是来自本地的访问,所以更改XFF头为127.0.0.1
得到flag为flag{0f440884-ed77-4fd5-9230-c3e2c913ca8a}
攻防世界上有一道类似的题目
xff_referer
直接了当X-Forwarded-For:123.123.123.123
要求请求来自https://www.google.com网页,Referer:https://www.google.com
返回flag为cyberpeace{ce85f8cea6c8083f5f0f5c89f3315963}
标签:BUUCTF,HTTP,请求,版本号,Agent,Referer,2019,Http,Forwarded From: https://www.cnblogs.com/niyani/p/17016947.html