fiddler抓包后修改HTTP头referer的值，测试响应与原始响应没有区别，这样算不算有漏洞？

用appscan扫描出很多这个问题，本人小白不知怎样验证算不算问题，严重与否，请各位
帮帮我！

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

1条回答

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
玄尺 2018-11-03 15:32
关注
按照http协议，浏览器在发网络请求时，会把当前页面的url带上发送给服务器端，referer字段表示该页面的请求来源。一般来说referer的作用有下面几种：
1. 防盗链，比如A网站上有一些图片，B站点希望直接引用该图片地址，A站点便可以使用referer拦截非法请求
2. 防止XSS这种跨站攻击

回到你的问题：
Referer字段是浏览器根据协议上传，如果使用测试工具进行mock，这种情况下如果服务器不进行拦截，请求肯定可以访问成功。估计就是这个原因被扫描出漏洞。
解决方法：
在服务器端对referer进行拦截。

安全无小事，这是红线也是底线。

本回答被题主选为最佳回答 , 对您是否有帮助呢?

解决 1
无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

fiddler抓包后修改HTTP头referer的值，测试响应与原始响应没有区别，这样算不算有漏洞？
2018-11-03 13:06

回答 1 已采纳按照http协议，浏览器在发网络请求时，会把当前页面的url带上发送给服务器端，referer字段表示该页面的请求来源。一般来说referer的作用有下面几种： 1. 防盗链，比如A网站上有一些图片
fiddler4手机抓包，正常连接后手机获取不到图片和视频的数据，使用Charles也有异常 python 有问必答测试工具
2022-05-10 18:05

回答 3 已采纳网络是否正常，看下抓包请求响应情况。或者可以用Charles抓包工具，需要的话，可以分享相关教程给你。
fiddler 抓包，显示锁的图表怎么处理啊，怎么能看到请求数据和响应数据 fiddler 测试工具
2023-04-13 15:12

回答 1 已采纳如图查看请求和响应，请采纳
『Fiddler数据抓包功攻略』| 如何使用Fiddler进行数据抓包与分析？
2023-12-01 15:08

虫无涯的博客 6.8 Response Headers Response Headers是通过响应头进行过滤设置： 7 Https抓包设置有时候只能抓包http包数据，但是https数据包没有被抓到，这是因为没有对https抓包进行设置； https实际就是http封装了一层SSL...
fiddler 怎么只对手机进行抓包！ fiddler 测试工具
2022-05-14 16:17

回答 1 已采纳在options里面选择from remote clentd only 或者这儿设置一下抓取固定域名或者IP的数据包
jmeter get请求 response body数据与fiddler抓包获取的响应数据不一致，用fiddler的conposer也会出现一样的问题，但是直接浏览器输入url就没问题 postman selenium 测试用例
2020-07-17 15:49

回答 2 已采纳 jmeter上请求头是怎么设置的，是不是设置错了
Fiddler抓包，遇到tunnel to 443，如何解决 fiddler https python
2022-01-02 20:56

回答 8 已采纳不用试了，不是设置问题，大概率是机型和系统版本问题。比如小米机型不能替换根证书，安卓版本太高10以上，或者没有root，或者微信版本高，微信防抓包。建议电脑安卓模拟器或者装httpcanary试，你
HTTP(http+抓包Fiddler+协议格式+请求+响应)
2022-11-17 08:00

快到锅里来呀的博客 2. 抓包 3. http协议格式 3.1 完整的HTTP请求格式 3.2 完整的HTTP响应的格式 HTTP请求 4. 认识URL 5. http中的"方法" 5.1get 是最常用的HTTP请求方法 5.2. post 产生的途径面试题: get 和 post 的区别 "post" 和 ...
关于#fiddler#的问题：Fillder的抓包原理 fiddler 测试工具
2022-10-24 16:38

回答 2 已采纳 Fiddler工作于OSI七层模型中的应用层，Fiddler在浏览器与服务器之间建立一个代理服务器，能够捕获通过的http(s)请求。Fiddler启动后会自动将代理服务器设置成本机，默认端口为888
fiddler手机抓包无法连接下载证书测试工具
2022-04-05 09:55

回答 1 已采纳手机和PC网段一致端口正确手机网络代理是否配置正确下载证书访问 ip:端口
fiddler抓不到图片包 fiddler 其他前端测试工具
2022-06-01 00:33

回答 1 已采纳你看一下是不是这儿勾选了
二、Fiddler抓包工具 — HTTP协议介绍
2022-06-06 16:44

测试-八戒的博客 HTTP协议是(超文本传输协议)的缩写，是用于从万维网(WWW:World Wide Web )...http是基于请求与响应模式的、无状态的、应用层的协议。开启Fiddler工具，在浏览器中发送一个HTTP请求，之后在Fiddler中就会抓取到该请求。
Fiddler抓包问题，如何抓电脑版微信上的小程序的包？ python 人工智能小程序微信小程序搜索引擎
2019-10-11 15:33

回答 3 已采纳步骤1，其它微信用户向PC微信转发一个微信小程序步骤2，安装并使用mitmdump，[mitmdump安装教程](https://blog.csdn.net/a1023182899/article
全网最强HTTP+Fiddler抓包实战教程干得不能再干 (超级全面图文)
2022-05-07 18:02

极客小俊的博客居然有人干了5年开发，居然抓包都不会! 但是不要怕，不要哭，跟着我学一定有收获！兴趣就是你最好的老师，有兴趣就一定要学下去 , 卷死他们!
【Java EE】-使用Fiddler抓包以及HTTP的报文格式
2023-05-04 09:18

学Java的冬瓜的博客使用FIddler抓包的方法，使用FIddler抓包需要知道的注意事项。HTTP协议报文格式:首行，header，空白行，body。HTTP协议中可以自定义的属性。HTTP中get和post请求的区别。HTTP中的header的部分属性分析。HTTP响应状态...
没有解决我的问题, 去提问

悬赏问题

¥15 sqlite 附加（attach database）加密数据库时，返回26是什么原因呢？
¥88 找成都本地经验丰富懂小程序开发的技术大咖
¥15 如何处理复杂数据表格的除法运算
¥15 如何用stc8h1k08的片子做485数据透传的功能？(关键词-串口)
¥15 有兄弟姐妹会用word插图功能制作类似citespace的图片吗？
¥200 uniapp长期运行卡死问题解决
¥15 请教：如何用postman调用本地虚拟机区块链接上的合约？
¥15 为什么使用javacv转封装rtsp为rtmp时出现如下问题：[h264 @ 000000004faf7500]no frame？
¥15 乘性高斯噪声在深度学习网络中的应用
¥15 关于docker部署flink集成hadoop的yarn，请教个问题 flink启动yarn-session.sh连不上hadoop，这个整了好几天一直不行，求帮忙看一下怎么解决