20220129--CTF刷题--- WEB方向--简单题--含常见的 HTTP请求头知识点总结

20220129–CTF刷题— WEB方向–简单题–常见的 HTTP请求头–含总结

刷题网站:攻防世界 https://adworld.xctf.org.cn/

关于更多的刷题平台汇总:这是我自己的汇总(也包含自己可以在本地搭建的 网站)
https://blog.csdn.net/qq_51550750/article/details/122748075

20220129--CTF刷题--- WEB方向--简单题--含常见的 HTTP请求头知识点总结_第1张图片
20220129--CTF刷题--- WEB方向--简单题--含常见的 HTTP请求头知识点总结_第2张图片

于是开启代理,开始burp抓包:
添加上X-Forwarded-For的头:
20220129--CTF刷题--- WEB方向--简单题--含常见的 HTTP请求头知识点总结_第3张图片
得到相应:
20220129--CTF刷题--- WEB方向--简单题--含常见的 HTTP请求头知识点总结_第4张图片
根据提示再加上referer的头:
20220129--CTF刷题--- WEB方向--简单题--含常见的 HTTP请求头知识点总结_第5张图片
最终得到flag:cyberpeace{25444a12e0172eb21135243be10d4a3a}
20220129--CTF刷题--- WEB方向--简单题--含常见的 HTTP请求头知识点总结_第6张图片
回顾:这道题主要利用了HTTP的几个重要的头,总结如下。
HTTP的几个重要的头

X-Forwarded-For

X-Forwarded-For 是一个扩展头。HTTP/1.1(RFC 2616)协议并没有对它的定义,它最开始是由 Squid 这个缓存代理软件引入,用来表示 HTTP 请求端真实 IP,现在已经成为事实上的标准,被各大 HTTP 代理、负载均衡等转发服务广泛使用

X-Forwarded-For请求头格式非常简单入 RFC 7239(Forwarded HTTP Extension)标准之中

X-Forwarded-For:client, proxy1, proxy2

绕过:Client-ip(有时会用到)

Referer

什么是referer头

HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。

从主页上链接到一个朋友那里,他的服务器就能够从HTTP Referer中统计出每天有多少用户点击我主页上的链接访问他的网站。
Referer的正确英语拼法是referrer。由于早期HTTP规范的拼写错误,为了保持向后兼容就将错就错了。其它网络技术的规范企图修正此问题,使用正确拼法,所以拼法不统一。

在JSP中获取REFERER的方式是:request.getHeader(“REFERER”);
在PHP中获取REFERER的方式是:$_SERVER[‘HTTP_REFERER’];

Referer的格式
Referer: http://www.test.com

User_agent

User Agent中文名为用户代理,简称 UA,它是一个特殊字符串头,使得服务器能够识别客户使用的操作系统及版本、CPU 类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件等。

Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:0.9.4) Gecko/20011128 Netscape6/6.2.1 在 Linux 中的 SeaMonkey 1.1a:

Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.1b2) Gecko/20060823 SeaMonkey/1.1a 在 Windows XP 中的 Firefox 2.0.0.11 :
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.11) Gecko/20071127 Firefox/2.0.0.11 Mac OS X 中的 Camino 1.5.1:

你可能感兴趣的:(CTF刷题,http,安全)