xff:xff 是http的拓展头部,作用是使Web服务器获取访问用户的IP真实地址(可伪造)。由于很多用户通过代理服务器进行访问,服务器只能获取代理服务器的IP地址,而xff的作用在于记录用户的真实IP,以及代理服务器的IP。格式为:X-Forwarded-For: 本机IP, 代理1IP, 代理2IP, 代理2IP
referer:referer 是http的拓展头部,作用是记录当前请求页面的来源页面的地址。服务器使用referer确认访问来源,如果referer内容不符合要求,服务器可以拦截或者重定向请求。
实例:攻防世界xff_referer
打开链接后知道需要X-Forwarded-For:ip地址来伪造
用burp suit抓包后右键send to Repeater并添加X-Forwarded-For:123.123.123.123
在response中的信息,可以看到"必须来自https://www.google.com" ,所以需要再添加一个referer:网址,发送之后再响应信息中得到flag
