Bu makale makine çevirisi ayna makalesidir, orijinal makaleye geçmek için lütfen buraya tıklayın.

Architect_Programmer_Code Tarım Ağı»Mimar Diğer Teknolojiler Güvenli hücum ve savunma Müdahale Penetrasyonu: HTTP başlıklarının uygulanması
Görünüm: 12586|Yanıt: 0

[Güvenlik Eğitimi] Müdahale Penetrasyonu: HTTP başlıklarının uygulanması

[Bağlantıyı kopyala]
Yayınlandı 7.02.2015 17:59:07 | | |

HTTP başlıklarının uygulanması hakkında

http başlığı, web sitelerinin iletim mekanizmasında yaygın olarak kullanılır, ancak Çin'deki çoğu yeni başlayan bu parçayı fark etmedi, bu makale sadece yeni başlayanlara adanmıştır, http başlığının müdahale sürecindeki rolü.

HTTP başlıklarının rolünün küçük bir kısmını analiz etmek için alışveriş sayfasını örnek alın.

Öncelikle, alışveriş sayfasındaki bir formu analiz edelim.

<form method="post" action="shop.php?id=1">

prodct: iphone 4s <br />

price:2400 <br />  <!--注意此行代码-->

Quantity: <input type="text" name="gouwu"> (Maximum gouwu is 50) <br />

<input type="hidden" name="price" value="449">

<input type="submit" value="Take">

</form>

Açılış sürecinde, http mesaj başlığından bir ekran görüntüsü alın ve bir göz atın

POST /shop/2/shop.php?id=1 HTTP/1.1
Host: shop.net
Content-Type: application/x-www/form-urlencoded
Content-Length: 20

quantity=1&price=2400

Fiyat alanı alışveriş sayfası açılırken sayfada görünmese de, kullanıcı tarafından düzenlenebilir ve işletilebilir.

Düzenlemeyi başarmanın iki yolu vardır

1. HTML kaynak kodunu değiştirmek için kaydedin ve ardından tarayıcıya yeniden yükleyerek çalıştırın

2. HTTP başlıklarını değiştirmek için proxy interception kullanın (araç burp'ta proxy oluşturma)

Yukarıdaki HTTP başlığını örnek olarak ele alalım
Değişimden önce
POST /shop/2/shop.php?id=1 HTTP/1.1                  
Host: shop.net
Content-Type: application/x-www/form-urlencoded
Content-Length: 20

quantity=1&price=2400

Değişimden sonra
POST /shop/2/shop.php?id=1 HTTP/1.1
Host: shop.net
Content-Type: application/x-www/form-urlencoded
Content-Length: 20

nicelik=1&fiyat=1


Son satırda Fiyat 2400 değerinde ve 1'e çıkarırsak iPhone 4S'i daha ucuz fiyata alabiliriz.

Bu makale sadece LDAP enjeksiyonu gibi beklenmedik kazanımlar hakkında bir fikir veriyor.




Önceki:MySQL Şifre Kurtarma Şifre Uygulama Yöntemi Unuttu
Önümüzdeki:Tam web sitesi yolunu elde etmek için SQL enjeksiyonu

İlgili Yazılar
Feragatname:
Code Farmer Network tarafından yayımlanan tüm yazılım, programlama materyalleri veya makaleler yalnızca öğrenme ve araştırma amaçları içindir; Yukarıdaki içerik ticari veya yasa dışı amaçlarla kullanılamaz, aksi takdirde kullanıcılar tüm sonuçları ödemelidir. Bu sitedeki bilgiler internetten alınmakta olup, telif hakkı anlaşmazlıklarının bu siteyle hiçbir ilgisi yoktur. Yukarıdaki içeriği indirmeden sonraki 24 saat içinde bilgisayarınızdan tamamen silmelisiniz. Programı beğendiyseniz, lütfen orijinal yazılımı destekleyin, kayıt satın alın ve daha iyi orijinal hizmetler alın. Herhangi bir ihlal olursa, lütfen bizimle e-posta yoluyla iletişime geçin.
Mail To:help@itsvse.com