顺丰速运某分站点HTTP头部注入

有两种方法能写出没有错误的程序;但只有第三种好用。

一处头部的的使用导致了本次漏洞的产生。

出事站点:

vosuat.sf-express.com

URL:

http://vosuat.sf-express.com/index.php?m=content&c=index&a=lists&catid=6

其中代码加入了对User-Agent的使用了

但是这处是不包含在程序员的过滤之中的。

因此导致了这次的问题。

顺丰速运某分站点HTTP头部注入

列了一下数据量。

顺丰速运某分站点HTTP头部注入

修复方案:

过滤一切来自客户端的数据

分类:默认分类 时间:2012-01-08 人气:5
本文关键词:
分享到:

相关文章

  • https站点如何建设才能提高对百度友好度? 2012-01-09

      由于百度不会主动抓取https网页,因而导致了很多https网页无法被收录。今日,百度站长平台就“https站点如何建设才能对百度友好”这一问题发布了公告,文中阐述了该问题的注意事项、以及应对方案。   详情如下:   主要可从以下四个方面提高https站点的百度友好度:   1,为需要被百度搜索引擎收录的https页面制作http可访问版。   2,通过user-agent判断来访者,将Baiduspider定向到http页面,普通用户通过百度搜索引擎访问该页面时,通过301重定向至相应的

  • 2010年6月10日更新QQ代理IP(最新可用HTTP代理) 2012-01-20

    2010年6月10日更新QQ代理IP(最新可用HTTP代理) 以下内容为整理发布 地址 地区 端口 类型 验证时间 110.138.147.17 印度尼西亚 3128 HTTP 6月10日 09:51:00 222.58.225.139 湖南省衡阳市 铁通 80 HTTP 6月10日 10:02:00 81.210.225.30 德国 8080 HTTP 6月10日 09:57:00 97.82.176.87 美国 8085 HTTP 6月10日 10:02:00 143.93.143.3 德国

  • AppStore出现太多HTTP重定向如何处理 2012-01-22

      有用户询问在进入App商店出现太多http重定向,怎么解决?用户反应iPhone5之前升级到iOS6.1时就在打开App Store,进入精品推荐时会显示太多http重定向的问题,而今仍未解决。   以下分享一个简单的方法供大家参考使用:   1.将iPhone与电脑连接,然后使用PC端91助手,进入文件管理,找到文件目录/var/mobile/library/caches   2.然后删除文件夹com.apple.appstore   3.删除后重启手机即可。   4.重启后再进入App

  • 大话TCP/IP协议之HTTP网络协议(一) 2012-02-01

    Part1.最熟悉的陌生人 和TCP/UDP协议比起来,HTTP协议或许更为大家所熟知,因为大家处处都可以看到http://xxx.com的字样。但是,真 正了解HTTP协议的同学,或许只是少数,还有很多人甚至不知道"404"的含义。而本文,正是让大家来更深入的了解 下这位最熟悉的陌生人。 Part2.HTTP在江湖中的地位 众所周知,Internet四层网络模型(也称TCP/IP四层模型)包括数据链路层、网络层、传输层和应用层。网络层最著名的协议是IP协议,传输层最著名的协议是TCP协议和UD

  • asp.net中RewritePath重定向HTTP头Content-Location暴露真实路径 2012-02-03

    本文章给各位介绍一篇关于asp.net中RewritePath重定向HTTP头Content-Location暴露真实路径,希望例子能帮助到大家哦。 ASP.NET使用RewritePath重定向后,服务器响应的HTTP头会多个Content-Location: HTTP/1.1 200 OK Content-Length: 48150 Content-Type: image/jpeg Content-Location: http://www.111cn.net /test.jpg Last-M

  • 在阿里云.微软WindowsAzure.亚马逊AWS上使用Nginx配置http正向代理服务器 2012-02-04

    作为一个完全的Linux和Nginx双料白痴,我觉得有必要把这几天的折腾整理一下,以备以后查看。 首先我接到的是5台安装好Linux的云主机,两台阿里云,两台Azure和一台AWS。(包括云主机IP,主机名,用户名和密码) 我要做的事情: 第一步:登录云主机。 网上查很多人推荐使用Putty,这里我们老大推荐我是使用X Manager Enterprise 4。 安装好以后打开 如果认证失败,就会报HTTP错误:401 Authorization Required。 要实现这样的功能,就需要更改

  • Android实践--Android Http 客户端编程之GET 2012-02-25

    Android Http 客户端编程之GET 说起Http编程,不尽然想起GET和POST两种请求方式,本文以简洁明了的的步骤和说明,将Android中常用的Http编程的方式列举出来,给刚刚在Android路上起步的奋斗者参考和指引,希望快速上手应用Android Http编程的同仁可以先绕过下面一段话。 做一件事之前,我们是否能驻足想一下要做这件事,我们需要做哪些工作,然后在经验中积累出模板思路和步骤,在程序界通常用设计模式来概括这些工作良好的解决方案。有了这些总结积累,这样我们就能举一反三

  • 腾讯游戏VIP网址http://gamesvip.qq.com,如何成为腾讯游戏VIP用户 附积分要求 2012-02-25

    腾讯游戏VIP网址http://gamesvip.qq.com,如何成为腾讯游戏VIP用户 附积分要求 这个东西是腾讯新出的, 积分体系腾讯游戏积分定义 腾讯游戏积分是深圳市腾讯计算机系统有限公司为感谢广大用户长期以来的支持与厚爱,根据用户的付费情况,通过累计积分的方式推出的一项长期回馈计划。 积分获得途径 凡通过QQ 个人帐户、Q点账户、手机短信、宽带、ESales、QQ卡、声讯、网银、财付通渠道购买腾讯游戏虚拟货币或游戏商城物品的用户,都将获得腾讯游戏贵宾积分。 积分累积单位 每消费1元累积

  • AWVS应用之HTTP Fuzzer 2012-03-14

    0×01 简介 自己baidu…… 0×02 HTTP Fuzzer 很多时候在web下做爆破工作的工具也有很多,AWVS其中的一个模块提供这样的功能,但是不仅仅只限于这样的工作. 首先所有的工具都需要获取HTTP数据包,他是重放浏览器操作的基础.既然是爆破,那么我们肯定是要先进行登录的了. 这里我用DVWA做演示,他包含在OWASP Broken Web Application的ISO中,当然你也可以从官方获取他的副本. DVWA的登录首页: LiveHttp抓包: 在HTTP Fuzzer填

Copyright (C) quwantang.com, All Rights Reserved.

趣玩堂 版权所有 京ICP备15002868号

processed in 0.040 (s). 10 q(s)