1、掌握SQL注入的基本原理;2、了解服务器获取客户端IP的方式;3、了解SQL注入的工具使用; 随便输入用户名密码登录,提示有ip信息,根据题目的意思是信息是根据x-forwarded-for的纸变得,所以本题存在x-forwarded-for注入1.首先打开burp抓包,添加x-forwarde ...
分类:
其他好文 时间:
2019-10-21 09:32:24
阅读次数:
81
题目地址:http://123.206.31.85:1003/ 登进去是一个管理员后台登录的样子 试了sql的万能密码,发现进不了,而且下面还报错了ip禁止 禁止了我们的ip,但是他本地的ip肯定没有禁止,那么我门这里就用XFF参数进行伪造; XFF即X-Forwarded-For参数 用bp抓包, ...
分类:
其他好文 时间:
2019-10-10 09:16:27
阅读次数:
282
https://imququ.com/post/x-forwarded-for-header-in-http.html 我一直认为,对于从事 Web 前端开发的同学来说,HTTP 协议以及其他常见的网络知识属于必备项。一方面,前端很多工作如 Web 性能优化,大部分规则都跟 HTTP、HTTPS、S ...
分类:
Web程序 时间:
2019-10-05 14:12:01
阅读次数:
108
nginx服务常用的变量 nginx日志变量 说明 $remote_addr 记录访问网站的客户端地址 $http_x_forwarded_for 当前端有代理服务器是,设置web节点记录客户端IP地址,前提是代理端也需要配置这个参数 $remote_user 远程客户端用户名称 $time_loc ...
分类:
其他好文 时间:
2019-10-02 19:01:39
阅读次数:
104
X-Forwarded-For:字段简称xff,表示当前请求用户IP地址。伪造方式:字段:ip,并且必须要在下面留有一行空行。 1 X-Forwarded-For:123.123.123.123 Referer:字段表示请求的源地址,也就是从哪个页面发过来的请求。伪造方式:字段:完整url地址。留一 ...
分类:
Web程序 时间:
2019-09-20 23:03:50
阅读次数:
141
echo getcposition(getIP()); //获取用户真实ip function getIP() { if (isset($_SERVER)) { if (isset($_SERVER[HTTP_X_FORWARDED_FOR])) { $realip = $_SERVER[HTTP_ ...
分类:
Web程序 时间:
2019-09-19 10:32:31
阅读次数:
117
题目链接 之前一直以为要用x-forwarded-for ,谁道用的是referer,Orz.在此特地记录,x-forwarded-for 和 referer的区别 X-Forwarded-For(XFF):用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请 ...
分类:
其他好文 时间:
2019-09-15 23:58:39
阅读次数:
191
Nginx日志格式log_formatmain‘$remote_addr-$remote_user[$time_local]"$request"‘‘$status$body_bytes_sent"$http_referer"‘‘"$http_user_agent""$http_x_forwarded_for"‘‘"$http_host""$request_time""$upstream_respo
分类:
其他好文 时间:
2019-07-12 00:52:57
阅读次数:
351
开发者容易遗漏的输入点: HTTP头 X-Forwarded-For 获取用户ip User-Agent 获取浏览器 Referer 获取之前访问页面 X-Forwarded-For 获取用户ip User-Agent 获取浏览器 Referer 获取之前访问页面 PHP_SELF REQUEST_ ...
分类:
数据库 时间:
2019-07-11 15:39:05
阅读次数:
120
参考 https://www.cnblogs.com/huaxingtianxia/p/6369089.html 一个请求可能经过的路径:客户端=>(正向代理=>透明代理=>服务器反向代理=>)Web服务器 其中正向代理、透明代理、服务器反向代理这三个环节并不一定存在。 什么是正向代理呢,很多企业会 ...
分类:
其他好文 时间:
2019-06-30 00:25:11
阅读次数:
136
