我有一個頁面,我怕有人可以入侵。該頁面本身使得如果您在沒有正確的引用鏈接的情況下訪問該頁面,則會將其重定向回到帶有該表單的頁面。我可以使用cURL繞過我的服務器安全嗎?
我試圖使用捲曲,但它也重定向我,並給我「移動的對象」。
我的頁面使用GET,所以我想我可以只使用curl,但它又重定向。這是一件好事,因爲重定向而不是來自我想要的頁面是我的「安全」的一部分。我不知道,雖然(技術)和cURL可能是錯誤的工具來嘗試和打破它,但它有多弱。
該頁面僅根據查詢字符串返回訂單。我相信我對sql注入很好,只是測試了最後一部分。 Ajax可能嗎?
asp經典網頁。
感謝您的任何幫助。
更新:我能使用此:How do I use cURL & PHP to spoof the referrer?
Referer的僅僅是通過瀏覽器發送一個報頭,因此它可能會被欺騙。從a manual on cURL:
REFERRER
HTTP請求有權選擇以包括有關指實際的網頁,其中 地址信息。 Curl允許你指定 在命令行中使用的引用。這是特別有用的 愚弄或欺騙愚蠢的服務器或CGI腳本依賴於該信息可用或包含某些數據。curl -e www.coolsite.com http://www.showme.com/ NOTE: The Referer: [sic] field is defined in the HTTP spec to be a full URL.
所以,在捲曲測試,使用-e開關與正確的Referer標頭,看看會發生什麼。
這不是本身的答案,而是Matt Ball對未來讀者的評論的延伸。 不要依賴引薦安全:
維基百科上有一整篇文章:Referrer Spoofing
雖然許多Web站點都配置爲收集來源信息,並且根據不同的服務內容所獲取的推薦人信息,專門依靠HTTP引用信息進行身份驗證和授權目的。不是[真正的最先進的計算機]安全措施,並且被描述爲蛇油安全。 HTTP引用信息自由可變和可截取,而不是密碼,雖然有些配置不當的系統對待它...
安德魯的回答顯示瞭如何將定製的推薦人,且捲曲。
快樂編碼。
不要依靠引用來保證安全。欺騙非常容易。 –