遇到这种情况 试这些头
“Only localhost” X-Forwarded-For: 127.0.0.1
403 Forbidden X-Original-URL: /admin
SSRF题目 Host: 127.0.0.1:8080
文件上传限制 Content-Type: image/png
API需要认证 X-API-Key: test
缓存相关题目 X-Forwarded-Host: evil.com
JWT题目 Authorization: Bearer …
请求走私题目 Transfer-Encoding: chunked

请求方式

X-Forwarded-For - 万能IP伪造头,SSRF、SQL注入、WAF绕过都用它

Referer: https://attacker.com - 配合CSRF,用于伪造来时网页

1
2
3
4
5
6
7
8
9
10
11
Content-Type:1
    text/html : HTML格式
    text/plain :纯文本格式
    text/xml : XML格式
    image/gif :gif图片格式
    image/jpeg :jpg图片格式
    image/png:png图片格式
application/json: JSON数据格式
application/xml: XML数据格式
application/x-www-form-urlencoded: <form encType=””>中默认的encType,form表单数据被编码为key/value格式发送到服务器(表单默认的提交数据的格式),提交post传参需要这种格式
multipart/form-data : 需要在表单中进行文件上传时,就需要使用该格式

Date-伪造访问时间

1
2
3
4
5
如:Date:Tue, 20 Aug 2024 00:00:00 GMT
Tue:星期二
20 Aug 2024:日期,月份,年份
00:00:00:凌晨0点0时0分
GMT:必须以此结尾