BASIC-BURP COURSE 1

打开题目就一个提示只能本地访问直接就想到了X-Forwarded-For的伪造

结果还是提示只能本地访问。说明我们的方法不对。

然后自己通过查阅资料发现在http里面除了可以使用X-Forwarded-For以外，还可以使用X-Real-IP.

于是乎尝试：X-Real-IP: 127.0.0.1

发现出现了用户名密码。说明我的做法是正确的。

之后就是点击登录，通过post提交用户名密码。注意还是要添加上X-Real-IP: 127.0.0.1

成功！！！

总结：
这个题让我学习了一个新知识点X-Real-IP
他们的区别是：
X-Forwarded-For:是用于记录代理信息的，每经过一级代理(匿名代理除外)，代理服务器都会把这次请求的来源IP追加在X-Forwarded-For中并且用逗号分隔。
X-Real-IP:一般只记录真实发出请求的客户端IP

拓展：

伪造IP

x-forwarded-for: 127.0.0.1

x-remote-IP: 127.0.0.1

x-remote-ip: 127.0.0.1

x-client-ip: 127.0.0.1

x-client-IP: 127.0.0.1

X-Real-IP: 127.0.0.1