攻防世界 web xff_referer

真棒！每个web题都能学点新东西，而且感觉很nb的样子。不像pwn，wtnl…

本题涉及：

XFF：

X-Forwarded-For（XFF）是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。

referer:

HTTP Referer是header的一部分，当浏览器向web服务器发送请求的时候，一般会带上Referer，告诉服务器该网页是从哪个页面链接过来的，服务器因此可以获得一些信息用于处理。

简单来说，xff是识别web服务器的客户端原始ip。referer是告诉服务器用户是从哪个链接过来的。

题目描述：X老师告诉小宁其实xff和referer是可以伪造的。

从题目描述来看，这题应该又用到burp进行抓包然后修改xff和referer。

修改格式：

X-Forwarded-For：ip(例如127.0.0.1)
Referer:网址(例如https://www.google.com)

这一题限定的ip为123.123.123.123，抓包，把xff改成123.123.123.123

根据页面提示，referer要改成google网址，继续修改得到flag。

关于burp抓包可以看我的另一篇博客
cyberpeace{b3875a6d0a67600b4d1a030a498614b2}