Loading [MathJax]/jax/output/CommonHTML/config.js

开发者社区

文档建议反馈控制台

文章/答案/技术大牛

发布

社区首页 >专栏 >XFF漏洞利用[通俗易懂]

XFF漏洞利用[通俗易懂]

作者头像

全栈程序员站长

发布于 2022-07-04 02:15:18

发布于 2022-07-04 02:15:18

2.6K00

代码可运行

举报

文章被收录于专栏：全栈程序员必看全栈程序员必看

运行总次数：0

代码可运行

大家好，又见面了，我是你们的朋友全栈君。

作者：小刚一位苦于信息安全的萌新小白帽，记得关注给个赞，谢谢本实验仅用于信息防御教学，切勿用于其它用途

XFF漏洞

X-Forwarded-For(XFF)

XFF是header请求头中的一个参数是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。代表了HTTP的请求端真实的IP。

X-Forwarded-For: client1, proxy1, proxy2, proxy3
//浏览器IP，第一个代理服务器，第二个三个四个等等

利用方式

1.绕过服务器过滤

XFF漏洞也称为IP欺骗。有些服务器通过XFF头判断是否是本地服务器，当判断为本地服务器时，才能访问相关内容。

X-Forwarded-For: 127.0.0.1
X-Forwarded-For: 192.168.1.1

修改XFF头的信息，即可绕过服务器的过滤。

2.XFF导致sql注入

XFF注入和SQL的header头部注入原理一样，服务器端会对XFF信息进行记录，但没有进行过滤处理，就容易导致sql注入的产生

X-Forwarded-for: 127.0.0.1' and 1=1#

然后进一步利用sql注入，进行渗透测试。

补充

服务器判断真实地址的参数有时不一定是XFF，可能是以下几个参数

x-forwarded-fot
x-remote-IP
x-originating-IP
x-remote-ip
x-remote-addr
x-client-IP
x-client-ip
x-Real-ip

使用模糊测试fuzz一下，或许能找到绕过服务器过滤的请求头

发布者：全栈程序员栈长，转载请注明出处：https://javaforall.cn/149069.html原文链接：https://javaforall.cn

本文参与腾讯云自媒体同步曝光计划，分享自作者个人站点/博客。

如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自作者个人站点/博客前往查看

如有侵权，请联系 cloudcommunity@tencent.com 删除。

本文参与腾讯云自媒体同步曝光计划，欢迎热爱写作的你一起参与！

评论

登录后参与评论

暂无评论

编辑精选文章

换一批

万字详解高可用架构设计

Go 开发者必备：Protocol Buffers 入门指南

10分钟带你彻底搞懂分布式链路跟踪

多租户的 4 种常用方案

亿级月活的社交 APP，陌陌如何做到 3 分钟定位故障？

60页PPT全解：DeepSeek系列论文技术要点整理

AEM漏洞与Nuclei Template编写

java json adobe aem path

AEM 是 "Adobe Experience Manager" 的英文缩写。是由一个 Java 构建的全面的内容管理解决方案。它可以辅助网站的动态数字体验，也辅助了内容的碎片化整理。

洛米唯熊

2022/10/27

8240

Java服务器获取客户端的真实IP

nginx tcp/ip 网站编程算法 http

首先，一个请求肯定是可以分为请求头和请求体的，而我们客户端的IP地址信息一般都是存储在请求头里的。如果你的服务器有用Nginx做负载均衡的话，你需要在你的location里面配置 X-Real-IP和 X-Forwarded-For请求头：

健程之道

2019/11/03

5K0

cdn http tcp/ip 网络安全

X-Forwarded-For（XFF）是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。 Squid 缓存代理服务器的开发人员最早引入了这一HTTP头字段，并由IETF在HTTP头字段标准化草案[1]中正式提出。

yumusb

2020/10/27

2.7K0

Nginx 之 realip模块使用详解

tcp/ip nginx html http https

使用：realip 功能需要 Nginx 添加 ngx_http_realip_module 模块，默认情况下是不被编译，如果需要添加，请在编译时添加 --with-http_realip_module 选项开启它。

YP小站

2020/06/05

7.9K0

ctf-who are you?

tcp/ip http 网站数据库 sql

拿到这一题，根据提示域页面显示的ip，很多小伙伴们肯定猜到了这是一道http头注入，且是与ip相关的，与ip相关的头常见的有： Client-IP x-remote-IP x-originating-IP x-remote-addr x-forwarded-for

tnt阿信

2020/08/05

1.3K0

ctf-who are you?

红队攻击-绕过waf以及IDS等流量设备

网站 ipv6 tcp/ip http https

2021年了，现在渗透的越来越难了，刚打的shell，过一会就没了，现在的流量设备，安全设备一个比一个流弊，payload一过去就面临着封禁，为了对抗设备，一些大佬们总结出很多绕过这种基于签名的*WAF 或 IDS* 的手法，为什么叫基于签名的？因为这种设备也是检查数据包中一些特征字符，比如什么and 1=1 什么的，但是肯定不会这么简单的，除了几个黑名单的固定的特征字符，很多都是那种通过正则去匹配特征字符的，这也是造成绕过可能性的原因。

Gamma实验室

2021/11/04

1.4K0

Src挖掘之比较有意思的几个漏洞挖掘记录

测试接口漏洞数据 src

本以为是一次平平无奇的sql注入，没想到绕了一天才绕过去，下面放几张测试失败的截图

亿人安全

2024/09/11

1560

Src挖掘之比较有意思的几个漏洞挖掘记录

应用获取客户端真实IP

ip 代理公众号客户端配置

remote_addr代表客户端IP，但是它的值不是由客户端提供的，而是服务端根据客户端IP指定的。当你访问某个应用时，当中间没有经过任何代理，那么应用获取到的remote_addr就是你的主机IP。如果中间经过了代理转发，正常情况下，应用获取到的remote_addr就是代理的IP，除非在代理服务器上手动将remote_addr的地址设置成你的主机IP。

没有故事的陈师傅

2023/11/16

1.1K0

nginx反向代理proxy_set_header说明

tcp/ip http html 编程算法

记录proxy_set_header设置 # 用途设定被代理服务器接收到的header信息允许重新定义或添加字段传递给代理服务器的请求头值可以包含文本、变量和它们的组合没有定义时会继承之前定义的值语法： proxy_set_header field value field：变量名 value：变量值默认值(只有两个字段被重定义)： proxy_set_header Host $proxy_host; proxy_set_header Connection close; # 配置说明项目值

薛定喵君

2021/07/27

3.4K0

最新XFF注入攻击和代码分析技术

数据库 http ip 测试客户端

X-Forwarded-For简称XFF头，它代表客户端真实的IP地址，通过修改X-Forwarded-For的值可以伪造客户端IP地址，在请求头中将X-Forwarded-For设置为127.0.0.1，然后访问该URL，页面返回正常，如图4-67所示。

Ms08067安全实验室

2023/10/25

7210

最新XFF注入攻击和代码分析技术

HGAME 2022 Week1 writeup by pankas

tcp/ip json 网站 php

尊贵的admin写了个todo帮助自己管理日常，但他好像没调试完就部署了….一个月后，当他再一次打开他的小网站，似乎忘记了密码…他的todo之前记录了很重要的东西，快帮帮他不要爆破！

pankas

2022/08/10

4150

HGAME 2022 Week1 writeup by pankas

渗透测试之攻破登录页面

验证码登录加密渗透测试系统

登陆界面最直接的就是密码爆破，上面说的那些漏洞我也说了，很难遇到！而对于爆破最重要的不是用的哪个工具，而是字典好不好，这里用的bp！

故里[TRUE]

2023/04/19

2.2K0

攻防世界web进阶区ics-05

tcp/ip http php 编程算法

发现了一个输入的函数他如果是字母和数字组合的话，输出page内容，同时die掉如果不是字母和数字的组合的话，

wuming

2021/01/18

5900

工具 com 测试登录服务器配置

在某些情况下，可以通过更改请求的 Header 并包含内部地址来访问页面和私有文件，以下是一些示例;

用户1423082

2024/12/31

1160

CTF| SQL注入之获取数据类

上周发了一篇 SQL注入登录类的题型文章分析，这种题目一般是绕过登录限制。常规的SQL注入题需要我们一步步注入出数据，大部分题目需要我们有一定代码审计的能力，分析出代码存在的注入漏洞才能获得flag。简单的注入题目简单的sql注入题目就和你在sqli平台上练习的一样，按照sql的基本注入方式一步步下来，就一定能够获得falg。题目入口： http://lab1.xseclab.com/sqli3_6590b07a0a39c8c27932b92b0e151456/index.php 题目来源：ha

漏斗社区

2018/03/28

1.7K0

CTF| SQL注入之获取数据类

带你了解代理 IP 那些事

爬虫安全 http nginx

在爬取某些网站时，我们经常会设置代理 IP 来避免爬虫程序被封。我们获取代理 IP 地址方式通常提取国内的知名 IP 代理商（如西刺代理，快代理，无忧代理等）的免费代理。这些代理商一般都会提供透明代理，匿名代理，高匿代理。那么这几种代理的区别是什么？我们该如何选择呢？本文的主要内容是讲解各种代理 IP 背后的原理。

猴哥yuri

2018/09/21

1.1K0

HTTP 规范中的那些暗坑

tcp/ip http https python 编程算法

HTTP 协议可以说是开发者最熟悉的一个网络协议，「简单易懂」和「易于扩展」两个特点让它成为应用最广泛的应用层协议。

卤代烃

2020/07/08

7560

ASP.NET Core 搭配 Nginx 的真实IP问题

Nginx（Engine X）是一个高性能HTTP和反向代理服务，是由俄罗斯人伊戈尔·赛索耶夫为访问量第二的Rambler.ru站点（俄文：Рамблер）开发的，第一个公开版本0.1.0发布于2004年10月4日。如果你是一名 ASP.NET Core 开发人员，并且你的 ASP.NET Core 应用部署在Linux上，相信你应该或多或少与 Nginx 有过接触，在我们将 ASP.NET Core 部署在 Linux 上时，它是被用做反向代理的最好选择之一。今天和大家聊一聊当我们使用了 Nginx 反向代理后，我们程序中获取真实IP（客户端真实ip，本文简称“真实IP”）的问题。

晓晨

2018/12/12

9090

Nginx 与 X-Forwarded-For

tcp/ip http nginx 负载均衡负载均衡缓存

今天的这篇文章发布于2016年01月，是介绍HTTP扩展头部 X-Forwarded-For，以及在nginx中使用http_x_forwarded_for变量来完成一些"特殊"功能，例如网站后台面向内部工作人员，所以希望只允许办公室网络IP访问。

用户1560186

2019/11/19

7.1K0

Waf功能、分类与绕过

Web 应用防火墙

Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

婷婷的橙子

2020/11/15

2.8K0

相关推荐

AEM漏洞与Nuclei Template编写

更多 >

全栈程序员站长0

LV.1

CTO

专栏

2

作者相关精选

换一批

目录

XFF漏洞

X-Forwarded-For(XFF)

利用方式
- 1.绕过服务器过滤
- 2.XFF导致sql注入

补充

加入讨论

的问答专区 >

派大星的数据屋0

1高级数据分析师擅长5个领域

相关课程

一站式学习中心 >

轻量应用构建训练营

轻量应用服务器

Python教程-Django框架快速入门到实战

本文部分代码块支持一键运行，欢迎体验

本文部分代码块支持一键运行，欢迎体验