当需要在浏览器中修改 HTTP 请求头进行安全测试时,推荐使用 ModHeader 插件。本文将分享它在 SRC 挖掘中的常用技巧。
1. 下载安装
ModHeader - Modify HTTP headers
官网地址: https://modheader.com/
从 Chrome / Edge / Firefox 扩展商店搜索安装即可。
2. 页面配置
安装完成后,打开插件面板,可以创建多个 Profile,在每个 Profile 中添加需要修改的请求头。
3. 实战及常用配置
3.1 固定登录状态(Cookie 与 Authorization 头)
当我们通过未授权接口获取到登录凭据,但拿不到账户密码时,往往只能靠凭据调用接口。借助 ModHeader,可以把凭据固定到请求头中,刷新页面即可直接进入后台,直观看到后台页面。
获取到的凭据示例(部分):
x-forwarded-for: "10.255.251.4, 127.0.0.1"
x-access-token: "ad78dbe0d91d5f350a405ea7d6d8e521"
content-type: "application/x-www-form-urlencoded"
在 ModHeader 中固定请求头:将 x-access-token 的值填入 Header 规则,保存后刷新目标页面即可正常访问后台(若响应成功,会看到后台页面)。
配置示例(以 token 为例):
x-access-token: ad78dbe0d91d5f350a405ea7d6d8e521
3.2 绕过微信检验
对于提示“请在微信客户端打开链接”的页面,通常有两种情况:
- 需要微信授权登录 —— 无法自动绕过
- 仅检测 User-Agent 与 Cookie —— 可通过修改请求头绕过
效果:页面显示“请在微信客户端打开链接”。
3.2.1 不需要授权登录
只需修改 User-Agent 头模拟微信客户端即可:
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36 NetType/WIFI MicroMessenger/7.0.20.1781(0x6700143B) WindowsWechat(0x6309071d) XWEB/8461 Flue
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
在 ModHeader 中添加上面四个头并勾选即可。
3.2.2 需要授权登录(同时校验 Cookie)
此时不仅需要微信 UA,还需要有效的微信 Cookie。以下步骤演示如何获取(仅作技术演示,网站无实际漏洞):
a. 将目标 URL 发送到微信,在微信内打开
b. 使用 Burp Suite 抓取微信客户端的请求包,复制其 Cookie 值(例如 JSESSIONID=...)
c. 将复制的 Cookie 设置到 ModHeader 中,与 UA 头一同启用
完整配置(需同时设置 UA 与 Cookie):
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36 NetType/WIFI MicroMessenger/7.0.20.1781(0x6700143B) WindowsWechat(0x6309071d) XWEB/8461 Flue
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: JSESSIONID=744C7402E92D00D0568380639446C265
保存 Profile 后,直接在 PC 浏览器中打开目标页面,即可绕过微信客户端限制。
3.3 绕过 WAF(伪造来源 IP)
当目标网站通过常见的来源 IP 检测头(如 X-Forwarded-For 等)限制访问时,可以利用 ModHeader 伪造这些头,让 WAF 认为请求来自白名单 IP(如 127.0.0.1)。
以下罗列常用的伪造来源 IP 请求头,可根据实际场景选用:
X-Forwarded-For: 127.0.0.1
X-Forwarded: 127.0.0.1
Forwarded-For: 127.0.0.1
Forwarded: 127.0.0.1
X-Forwarded-Host: 127.0.0.1
X-remote-IP: 127.0.0.1
X-remote-addr: 127.0.0.1
True-Client-IP: 127.0.0.1
X-Client-IP: 127.0.0.1
Client-IP: 127.0.0.1
X-Real-IP: 127.0.0.1
Ali-CDN-Real-IP: 127.0.0.1
Cdn-Src-Ip: 127.0.0.1
Cdn-Real-Ip: 127.0.0.1
CF-Connecting-IP: 127.0.0.1
X-Cluster-Client-IP: 127.0.0.1
WL-Proxy-Client-IP: 127.0.0.1
Proxy-Client-IP: 127.0.0.1
Fastly-Client-Ip: 127.0.0.1
True-Client-Ip: 127.0.0.1
X-Originating-IP: 127.0.0.1
X-Host: 127.0.0.1
X-Custom-IP-Authorization: 127.0.0.1
将这些头添加到 ModHeader 的 Profile 中,插件会自动为每个请求附加这些头,从而尝试绕过基于 IP 的访问控制。
3.4 CORS 自动检测
利用 ModHeader 可以为每个请求自动添加 Origin 头,配合被动扫描工具(如 HaE、OneScan 等),实现 CORS 配置错误的自动化挖掘。
在 ModHeader 中添加以下规则:
Origin: https://fkalis.top
之后,所有请求都会携带自定义的 Origin。若目标服务器返回:
Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: https://fkalis.top
则说明该资源可能存在 CORS 漏洞,可以由自动化工具筛选并标记。
以上四种场景覆盖了 SRC 测试中最常用的请求头修改技巧。根据实际需求,ModHeader 还能快速调试任何需要定制 HTTP 头的地方,建议熟练掌握。
发表于 1 小时前
|
查看: 3|
回复: 0
