看你的门-攻击服务器(4)-HTTP参数注入攻击

看你的门-攻击服务器(4)-HTTP参数注入攻击

大家好,又见面了,我是全栈君,今天给大家准备了Idea注册码。

首先需要声明。这纯粹是没有远见和有点真才实学开发一个愚蠢的观点,只为web参考系统安全。

1、HTTP参数注入攻击

參数,被用做后端HTTP请求中的參数,这个时候就有可能会导致HTTP參数注入。
一个自己想出来的烂例如:
一个P2P的转账系统:钱(money),从哪里(from)到哪里去(to).
一个非常easy的系统。开发的时候为了复用代码。加了一个推断字符(check)。当然,这个推断字符(check)是不会出如今这个P2P的转账系统的文档系统中;

2、一个典型的easy被HTTP參数注入攻击的源码

httpAddParam.jsp

<%@ page language="java" import="java.util.*,javax.servlet.http.*" pageEncoding="UTF-8"%>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
  <head>
    <title>看好你的门-阿饭同学</title>
  </head>
  <body>
    你的地址:<%=(String)request.getRemoteAddr()%> <br>
    <% String from = (String)request.getParameter("from"); String money = (String)request.getParameter("money"); String to = (String)request.getParameter("to"); String check = (String)request.getParameter("check"); if (check == null) { check = "0"; } if (check.equals("1")){ out.write("OK,show me the money。"); }else{ out.write("send money to :" + to); } %> <br>

  </body>
</html>

3、 SOAP注入攻击的一个典型案例
依照如果的文档的正常输入:

http://127.0.0.1:8080/webStudy/httpAddParam.jsp?from=andson&to=iris&money=10
显示:
你的地址:127.0.0.1 
send money to :iris

可是check參数被攻击者发现了。于是攻击者加上了check这个參数:

http://127.0.0.1:8080/webStudy/httpAddParam.jsp?from=andson&to=iris&money=10&check=1
显示:
你的地址:127.0.0.1 
OK,show me the money。

HTTP參数注入攻击完毕。

版权声明:本文博客原创文章,博客,未经同意,不得转载。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/117399.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • yum彻底卸载软件包(包含依赖)

    yum彻底卸载软件包(包含依赖)概述yum命令安装软件包会同时安装需要的依赖包,但yumremove却只卸载这个文件包本身,如果需要删除安装时附加的依赖包,则可以使用yumhistory的相关操作实现回滚。具体操作查看yum操作(事务)历史[root@localhost~]#yumhistorylist或yumhistoryLoading”fastestmirror”pluginConfigtime:0.007Yumversion:3.4.3ID|Loginuser

  • php 设置字符编码为utf-8[通俗易懂]

    php 设置字符编码为utf-8[通俗易懂]在代码开始出加入一行:header(“Content-Type:text/html;charset=utf-8”);

  • Oracle、plsql安装以及使用教程「建议收藏」

    Oracle、plsql安装以及使用教程「建议收藏」Oracle安装Oracle(11g)数据库安装详细图解教程plsql安装PLSQL下载、安装、配置、连接详细教程创建数据库注意略过关于监听配置的所有部分Oracle创建数据库实例plsql连接数据库如下所示,按照上述步骤完成安装创建之后,只需要在database前面加个127.0.0.1/你创建的数据库即可建表点击file->new->table之后根据需要创建数据库即可…

  • 矩阵范数小结_f范数

    矩阵范数小结_f范数稍微总结一下矩阵范数的求解来放松一下身心吧~这里总结的矩阵范数主要是F范数、1范数、2范数、核范数以及全变分TV范数与1、2的搭配

  • pygame安装(超级详细)

    pygame安装(超级详细)安装时是需要设置python环境变量的,下载python的时候底下有个小框框(没有默认选中)AddPython3.7toPATH需要选择的,如果没有选择的话,需要自己设置,我一般比较懒,卸载了python重新下载的,让下载器自动设置。然后是python版本问题有人疑问这是64位还是32位,看那个[64bit]是64位,至于后面的on32是在windows上使用的意思,在Linux上…

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号