![]() |
![]() |
![]() ![]()
Post
#1
|
|
![]() Grupa: Zarejestrowani Postów: 150 Pomógł: 4 Dołączył: 3.01.2010 Ostrzeżenie: (0%) ![]() ![]() |
Chodzi mi o atak w stylu https://nfsec.pl/security/5505 http_host ale z wykorzystaniem request_uri
Czy jest możliwe wywołanie strony np cos.pl/aaaa/ssss/aaa/fff a w request_uri przesłanie np / ? Nie mogłem znaleźć takiej informacji nigdzie w internecie. Mianowicie takim atakiem możnabybyło zapętlić np stronę główną. Bo jeżeli skrypt php by automatycznie przekierowywał np ze slashu na bez slasha np. wp.pl/cos/ na wp.pl/cos i w wp.pl/cos request_uri by wskazywał wp.pl/cos to powstało by zapetlenie Proszę o info Pozdrawiam. |
|
|
![]() |
![]()
Post
#2
|
|
![]() Grupa: Zarejestrowani Postów: 2 355 Pomógł: 533 Dołączył: 15.01.2010 Skąd: Bydgoszcz Ostrzeżenie: (0%) ![]() ![]() |
Wydaje mi się, że te wszystkie rozbieżności wynikają po prostu z różnej obsługi protokołu przez różne przeglądarki/soft.
Ewidentnie wchodzę w pętle przekierowań, video: https://youtu.be/IxZKD5wHkRs Pobawiłem się z Apache i ja po przekierowaniu, nawet dałem 2 przekierowania, mam cały czas Host równy temu co podałem w nagłówku dla pierwszego URLa. ![]() |
|
|
![]() ![]() |
![]() |
Wersja Lo-Fi | Aktualny czas: 22.06.2024 - 14:56 |