هجوم HTTP Header Injection

هجوم HTTP Header injection

الســــــــــــلام عليكــم و رحمة الله و بركــــــــــــاتــه

في دروس سابقة تناولنا بشكل مفصل البروتوكول HTTP و HTTP Headers و من خلال هذه التدوينة سنتعلم أول الهجمات التي يمكن أن نستغل فيها HTTP Header .

لزيارة التدوينتين السابقتين :

HTTP Header Injection :

HTTP Header Injection ثغرة يمكن تطبيق هجماتها و هي مرتبطة بإمكانية تحكم المستعمل ب HTTP Header .

من أهم الهجمات التي يمكن تطبيقها :

XSS Cross Site Scripting

CSRF Cross-Site Request Forgery

من الطبيعي أن تكون هذه الأسماء و الرموز معقدة و مبهمة في بادء الأمر , لكن في قادم الدروس سنقوم بشرحها بشكل مفصل .

استغلال HTTP Header Injection :

استغلال الهجوم يقوم على أساس تغيير HTTP Header و حقن كود Javascript لتطبيق هجمة XSS مثلا ,

البرامج التي تقوم بتغيير و التلاعب ب HTTP Header كثيرة جدا و أقواها burp suite ، لكن في درس اليوم سنقوم

باستعمال أداة Tamper Data و هي من Add-ons التي يمكن إضافتها بسهولة ل mozzila .

الخطوة 1 : فتح Tamper Data و بدء تلقي HTTP Header

الخطوة 2 : ارسال الرابط و تلقي HTTP Header لتغييرها

الخطوة 3 : حقن الكود<script> alert(string.fromCharCode(88,83,83))</script في خانة User-Agent و إرسال HTTP Header للموقع .





انتهى الدرس و السلام عليكم




المرجوا ذكر المصدر قبل النسخ حتى لا يضيع التعب هباء




ومرحبا باستفساراتكم ....

هكر أخلاقي يسعى لتنوير مستعملي الأنترنيت بخفايا الهكر و الاختراق و الحماية منه, تحث شعار: التعلم أول مراحل الحماية مدونة العنكبوت