xff:xff是http的扩展头,起到使Web服务器取得访问用户的IP地址的作用。 因为很多用户通过代理服务器进行访问,所以服务器只能获取代理服务器的IP地址。 xff的作用是记录用户的实际IP和代理服务器的IP。 格式为: X-Forwarded-For:本机IP、代理1IP、代理2IP、代理2IP
referer:referer是http的扩展标头,用于记录当前请求页面的源页面的地址。 服务器可以使用referer检查访问源,如果referer的内容不满足要求,服务器可以拦截或重定向请求。
实例:攻防世界xff_referer
打开链接后,您会发现需要X-Forwarded-For:ip地址才能伪造
在burp suit中抓住包,右键单击send to Repeater以添加x-forwarded-for :123.123.123.123
根据response信息,它必须来自“https://www.google.com”,因此必须添加referer:的网址,发送后进行响应以获得flag