扶摇公子日记-http请求伪造

Posted fuyaogongzi

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了扶摇公子日记-http请求伪造相关的知识,希望对你有一定的参考价值。

在目标站点配置了之允许特定的ip访问,在目标验证情况弱的情况下,可以通过伪造ip来达到访问的目的。

利用的前提是目标站点判定ip或者ip段子是通过http请求头来获取的。

一般出现的在网站的后台

大型网络后台一般会采用这种ip限制的方式

伪造方法

在http请求包加入特定的请求头和值

X-Forwarded-For:192.168.0.91
 
X-Originating-IP:192.168.0.92
 
X-Remote-IP:192.168.0.93
 
X-Remote-Addr:192.168.0.94
 
X-Client-IP:192.168.0.95
      
       

如果不知道准确的白名单ip的话,可以查询目标ip的地区,地区ip段进行轮询

 

以上是关于扶摇公子日记-http请求伪造的主要内容,如果未能解决你的问题,请参考以下文章

PHP漏洞全解-跨网站请求伪造

伪造Http请求IP地址

如何创建规则(HTTP 请求重定向不应对伪造攻击开放 - RSPEC-5146)java 插件

laravel 表单方法伪造

php代码审计7审计csrf漏洞

跨站点请求伪造(CSRF)