|登录 |注册

JBTALKS.CC»论坛 JBTALKS FORUMS 【电脑世界】 网页编程 http header injection
123下一页
返回列表 发新帖
查看: 3342|回复: 21
打印 上一主题 下一主题

http header injection

 关闭 [复制链接]
bluecloud08
2009-9-15 11:12 PM
请问 http header 是否跟 security 有关? google 了却找不到比较完整的资料, 所以就上来这问问看...

好像是把一些 code 直接 inject 进入我们的 header...是吧? 是怎样的一个情形呢?
可以提供多一点资料给我吗?

感激不尽!

回复 #1 bluecloud08 的帖子

小恶魔J@YL()NG
2009-9-16 12:12 AM
例如什么呢? header....? meta? js?
bluecloud08
2009-9-16 12:16 AM
原帖由 小恶魔J@YL()NG 于 2009-9-16 12:12 AM 发表
例如什么呢? header....? meta? js?


我也搞不清楚...应该是这种的 http header...


  2. Host: google.com
  3. User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.11) Gecko/20071127 Firefox/2.0.0.11
  4. Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
  5. Accept-Language: en-us,en;q=0.5
  6. Accept-Encoding: gzip,deflate
  7. Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
  8. Keep-Alive: 300
  9. Connection: keep-alive
复制代码
vampcheah
2009-9-16 01:38 AM
对这个有兴趣。
php 里的 $_SERVER 也有相关的函数吧。
据我知道的,firefox 有个 plugin 可以修改 header
但是会造成什么影响?
小恶魔J@YL()NG
2009-9-16 11:28 AM
ya....是控制东西的,header能负责很多东西,如body里面的js, flash, icon,都是由header负责的
bluecloud08
2009-9-16 03:20 PM
原帖由 小恶魔J@YL()NG 于 2009-9-16 11:28 AM 发表
ya....是控制东西的,header能负责很多东西,如body里面的js, flash, icon,都是由header负责的


是的, 所以 hacker 可以 inject code 进 header 来攻击网站...

那么, 我想知道的是我们可以怎样预防这 http header injection?

回复 #6 bluecloud08 的帖子

小恶魔J@YL()NG
2009-9-16 04:04 PM
打乱他的原码咯, 把它弄成乱码
Super-Tomato
2009-9-16 04:27 PM
我們每次瀏覽某個網站的時候, 瀏覽器都會向 Server 端發送出 header informations, 而編程者如果沒對 header 所提供的嚴格的控管, 那麼攻擊端只要從 header 所發出的訊息處下手就可以跳過程式鎖定的部分, 如 $_POST, COOKIES 等資料
bluecloud08
2009-9-16 04:53 PM
原帖由 Super-Tomato 于 2009-9-16 04:27 PM 发表
而編程者如果沒對 header 所提供的嚴格的控管, 那麼攻擊端只要從 header 所發出的訊息處下手就可以跳過程式鎖定的部分, 如 $_ ...


你所谓的严格控管是什么, 可以给点例子吗? 谢谢!
vampcheah
2009-9-16 06:47 PM
原帖由 Super-Tomato 于 2009-9-16 04:27 PM 发表
我們每次瀏覽某個網站的時候, 瀏覽器都會向 Server 端發送出 header informations, 而編程者如果沒對 header 所提供的嚴格的控管, 那麼攻擊端只要從 header 所發出的訊息處下手就可以跳過程式鎖定的部分, 如 $_ ...

但是LZ 讲的是 _SERVER 里的东西。
在我印象中好像没有试过类似的例子。
番茄老大,可以教两招吗?

_COOKIE 不是用户本身电脑的缓存吗?应该不会导致什么严重的事项吧。
除非系统是用 cookie 来做authorization 或记录一些重要的资料。
123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

JBTALKS.CC |联系我们 |隐私政策 |Share

GMT+8, 2025-4-20 05:22 PM , Processed in 0.126891 second(s), 25 queries .

Powered by Discuz! X2.5 © 2001-2012 Comsenz Inc.

本论坛言论纯属发表者个人意见,与本论坛立场无关
Copyright © 2003-2012 JBTALKS.CC All Rights Reserved

Dedicated Server powered by iCore Technology Sdn. Bhd.

合作联盟网站:
JBTALKS 马来西亚中文论坛 | JBTALKS我的空间 | ICORE TECHNOLOGY SDN. BHD.
回顶部