Can Hacker Postare i dati tramite la richiesta GET?

3

Oggi abbiamo ricevuto la seguente richiesta nel file dei registri di accesso di Apache.

"GET //?1=@ini_set(%22display_errors%22,%220%22);@set_time_limit(0);@set_magic_quotes_runtime(0);echo%20'-%3E%7C';file_put_contents(dirname($_SERVER%5B'SCRIPT_FILENAME'%5D).'/cache/cachee.php','%3C?php%20eval($_POST%5Bshine%5D);?%3E');echo%20'%7C%3C-'; HTTP/1.1" 200 42303

Come visto chiaramente dall'URL della richiesta di cui sopra, l'hacker sta tentando di tentare POST i dati o il file tramite la richiesta GET e sorprendentemente ha ottenuto 200 Status Code in stato di risposta.

Che tipo di tentativo di hacking è?

Nota: - Per motivi di sicurezza, abbiamo bloccato tutte le richieste POST tranne alcuni URL di moduli sul nostro server.

Quindi qualsiasi hacker che sta tentando di pubblicare alcuni dati dannosi sul nostro server riceverà 403 codice di stato in risposta

sopra l'hacker POSTED Alcuni dati tramite GET Request e lui ha 200 Status Code in Response.

Per favore aiutami a sapere quale tipo di tecnica di hacking è questa?

    
posta Pawan Patil 04.08.2017 - 07:06
fonte

1 risposta

3

L'hacker non invia i dati POST. POST è un metodo HTTP tanto quanto GET, HEAD, OPTION e simili. Contrariamente a GET il metodo POST può avere un corpo di richiesta per trasferire i dati. Tuttavia, è anche possibile trasferire dati all'interno di una richiesta GET, ad esempio all'interno della stringa di query dell'URL (ad esempio la parte che inizia con ? ) come si vede nei registri. Non c'è nulla di speciale in questo e infatti questo è il modo in cui i dati vengono trasferiti se si utilizza un modulo HTML e non si specifica esplicitamente un metodo.
E poiché questo è solo un comportamento normale, il server restituirà un codice di risposta positivo.

    
risposta data 04.08.2017 - 07:41
fonte

Leggi altre domande sui tag