CTF之来源页伪造攻击

一、需求背景

如果在访问一个网页时，提示只能通过另一个页面跳转的方式访问，这该如何办？例如，打开火狐浏览器时弹出提示，只能用谷歌浏览器打开

二、演练步骤

1、开启Burp进行抓包，其中Referer的地址是通过当前网页的地址进行访问，以真实的地址对目标进行访问，当进行访问后会弹出如图2的提示

 

 

 

 

 

2、通过伪造Referer的地址，Referer表示x_search_index.php页面通过Referer的地址进入，也即是通过www.google.com进入，如下图：

 

 

 

三、通过Referer的伪造，成功拿到key值，从而把之前index.html页面伪造成谷歌的页面进入