 Bezpieczeństwo w PHP (HTTP Cache Poisoning via Host Header Injection) |
| Bezpieczeństwo w PHP (HTTP Cache Poisoning via Host Header Injection) |
 
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 150 Pomógł: 4 Dołączył: 3.01.2010 Ostrzeżenie: (0%) 
 |
Chodzi mi o atak w stylu https://nfsec.pl/security/5505 http_host ale z wykorzystaniem request_uri
Czy jest możliwe wywołanie strony np cos.pl/aaaa/ssss/aaa/fff a w request_uri przesłanie np / ? Nie mogłem znaleźć takiej informacji nigdzie w internecie. Mianowicie takim atakiem możnabybyło zapętlić np stronę główną. Bo jeżeli skrypt php by automatycznie przekierowywał np ze slashu na bez slasha np. wp.pl/cos/ na wp.pl/cos i w wp.pl/cos request_uri by wskazywał wp.pl/cos to powstało by zapetlenie Proszę o info Pozdrawiam. |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 520 Pomógł: 102 Dołączył: 15.07.2014 Skąd: NULL Ostrzeżenie: (0%)
|
Wybaczcie ale sie tak rozpisaliscie ze chyba godzina czytania.
To nie wiem czy nie byla juz odpowiedz. Ale czy nie lepiej użyć modułu ModRewrite od apache?.. Wedlug mnie po hoscie bylo by bez sensu bo ten naglowek mozna dowolnie ustawiac... Nawet mozna by ustawic np. facebook.com wchodzac tu czy gdzie indziej. |
|
|
|
szajens Bezpieczeństwo w PHP (HTTP Cache Poisoning via Host Header Injection) 4.10.2015, 14:59:20 
Damonsson Abstrahując od tego czy możliwe, ale w pewnych prz... 4.10.2015, 15:49:08 szajens nie mówię o filtracji, bo to raczej logiczne.
Cho... 4.10.2015, 19:26:23 Damonsson To wszystko zależy od głupoty piszącego, znajdzies... 4.10.2015, 21:15:10 szajens raczej chodzi mi o atak HTTP Cache Poisoning ale z... 4.10.2015, 21:41:29 Damonsson Ok zakończmy ten temat Chciałbyś wejść na stronę ... 5.10.2015, 01:05:15 szajens mam jeszcze jedno pytanie dotyczące HTTP Cache Poi... 5.10.2015, 17:35:04 Damonsson Nie używać/filtrować HTTP_HOST 5.10.2015, 17:58:50 netmare Ja szczerze mówiąc, nie bardzo rozumiem pojęcie po... 5.10.2015, 18:21:23 szajens Potrzebuje użyć zmiennej http_host do przekierowan... 5.10.2015, 19:31:45 netmare Napisz lepiej czemu chcesz przekierowywać z wykorz... 5.10.2015, 20:08:30 szajens Potrzebuje w php zrobić przekierowanie z www.mojad... 5.10.2015, 20:37:46 netmare Chyba zamiast:
header("Location: <a href=... 5.10.2015, 21:06:04 
szajens Cytat(netmare @ 5.10.2015, 22:06:04 )... 5.10.2015, 21:22:00 netmare Ja nie widzę związku pomiędzy zapętleniem, a podmi... 5.10.2015, 21:26:37 szajens tak, oba hosty na jednej maszynie, wydaje mi się ż... 5.10.2015, 21:31:47 netmare No to jeśli vhosty na jednym serwerze to:
podmiana... 5.10.2015, 21:43:10 szajens No a da rade wyslac tak:
http://www.mojadomena.p... 5.10.2015, 22:37:41 netmare No da, ale będzie to tożsame z wpisaniem mojadomen... 5.10.2015, 23:01:42 Damonsson Da radę i wejdziesz w pętle przekierowań, od 10 po... 5.10.2015, 23:02:38 netmare Ja tu pętli nie widzę, może efekt późnej pory. Moż... 5.10.2015, 23:08:51 Damonsson Może już też nie myślę, ale wg mnie postawiłeś błę... 5.10.2015, 23:11:54 netmare Jak mi się uda usiąść jutro do kompa to zweryfikuj... 5.10.2015, 23:21:01 Damonsson Żeby nie być gołosłownym 5.10.2015, 23:27:18 netmare To mi się kupy nie trzyma , ani specyfikacji HTTP ... 6.10.2015, 00:25:19 Damonsson Hmmm no ok, nawet gdyby Live HTTP Headers kłamało,... 6.10.2015, 01:33:24 netmare Cytat(Damonsson @ 6.10.2015, 02:33:24... 6.10.2015, 18:42:28 szajens Modrewrite nie jest obslugiwane na kazdym serwerze... 6.10.2015, 06:53:30 Damonsson Wydaje mi się, że te wszystkie rozbieżności wynika... 6.10.2015, 19:48:16 Damonsson Dokładnie @netmare.
Też jest to dla mnie najlogic... 6.10.2015, 22:49:12 szajens no i filmik ode mnie: podmiana http_host
edit: Da... 6.10.2015, 20:34:19 Damonsson http://restclient.net/ - w sumie używam tego do te... 6.10.2015, 21:19:10 netmare No to jak dla mnie wszystko jasne i zgadza się, z ... 6.10.2015, 21:21:42 szajens haha z tą zapałką dobre )
podsyłam linka do progr... 6.10.2015, 21:27:05  |
|
Aktualny czas: 17.10.2025 - 06:57 |
