看你的门-攻击服务器(4)-HTTP参数注入攻击
大家好,又见面了,我是全栈君。
首先需要声明。这纯粹是没有远见和有点真才实学开发一个愚蠢的观点,只为web参考系统安全。
1、HTTP参数注入攻击
參数,被用做后端HTTP请求中的參数,这个时候就有可能会导致HTTP參数注入。 一个自己想出来的烂例如: 一个P2P的转账系统:钱(money),从哪里(from)到哪里去(to). 一个非常easy的系统。开发的时候为了复用代码。加了一个推断字符(check)。当然,这个推断字符(check)是不会出如今这个P2P的转账系统的文档系统中;
2、一个典型的easy被HTTP參数注入攻击的源码
httpAddParam.jsp
<%@ page language="java" import="java.util.*,javax.servlet.http.*" pageEncoding="UTF-8"%>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title>看好你的门-阿饭同学</title>
</head>
<body>
你的地址:<%=(String)request.getRemoteAddr()%> <br>
<% String from = (String)request.getParameter("from"); String money = (String)request.getParameter("money"); String to = (String)request.getParameter("to"); String check = (String)request.getParameter("check"); if (check == null) { check = "0"; } if (check.equals("1")){ out.write("OK,show me the money。"); }else{ out.write("send money to :" + to); } %> <br>
</body>
</html>3、 SOAP注入攻击的一个典型案例 依照如果的文档的正常输入:
http://127.0.0.1:8080/webStudy/httpAddParam.jsp?from=andson&to=iris&money=10
显示:
你的地址:127.0.0.1
send money to :iris可是check參数被攻击者发现了。于是攻击者加上了check这个參数:
http://127.0.0.1:8080/webStudy/httpAddParam.jsp?from=andson&to=iris&money=10&check=1
显示:
你的地址:127.0.0.1
OK,show me the money。HTTP參数注入攻击完毕。
版权声明:本文博客原创文章,博客,未经同意,不得转载。
发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/117399.html原文链接:https://javaforall.cn
本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2022年1月6,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
目录
腾讯云开发者
