xff_referer xctf 攻防世界 web新手练习区

题目主要描述是让我们去伪造xff和referer

进入场景后，只能看见ip

使用burp抓包，然后修改请求头

X-Forwarded-For:123.123.123.123
Referer:https://www.google.com

然后放包，回到原页面即可得到flag

扩展：

• Forwarded-For（XFF）是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。

• HTTP Referer是header的一部分，当浏览器向web服务器发送请求的时候，一般会带上Referer，告诉服务器该网页是从哪个页面链接过来的，服务器因此可以获得一些信息用于处理。

• xff是告诉服务器当前请求者的最终ip的http请求头字段，通常可以直接通过修改http头中的X-Forwarded-For字段来仿造请求的最终ip