首先需要声明。这纯粹是没有远见和有点真才实学开发一个愚蠢的观点，只为web参考系统安全。

1、HTTP参数注入攻击

參数，被用做后端HTTP请求中的參数，这个时候就有可能会导致HTTP參数注入。

一个自己想出来的烂例如：

一个P2P的转账系统：钱(money),从哪里(from)到哪里去(to).

一个非常easy的系统。开发的时候为了复用代码。加了一个推断字符(check)。当然，这个推断字符(check)是不会出如今这个P2P的转账系统的文档系统中；

2、一个典型的easy被HTTP參数注入攻击的源码

httpAddParam.jsp

<%@ page language="java" import="java.util.*,javax.servlet.http.*" pageEncoding="UTF-8"%>

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>

  <head>

    <title>看好你的门-阿饭同学</title>

  </head>

  <body>

    你的地址：<%=(String)request.getRemoteAddr()%> <br>

    <%

        String from = (String)request.getParameter("from");

        String money = (String)request.getParameter("money");

        String to = (String)request.getParameter("to");

        String check = (String)request.getParameter("check");

        if (check == null) {

            check = "0";

        }

        if (check.equals("1")){

            out.write("OK,show me the money。");

        }else{

            out.write("send money to :" + to);

        }

     %> <br>

  </body>

</html>

3、 SOAP注入攻击的一个典型案例

依照如果的文档的正常输入：

http://127.0.0.1:8080/webStudy/httpAddParam.jsp?from=andson&to=iris&money=10

显示：

你的地址：127.0.0.1

send money to :iris

可是check參数被攻击者发现了。于是攻击者加上了check这个參数：

http://127.0.0.1:8080/webStudy/httpAddParam.jsp?from=andson&to=iris&money=10&check=1

显示：

你的地址：127.0.0.1

OK,show me the money。

HTTP參数注入攻击完毕。

版权声明：本文博客原创文章，博客，未经同意，不得转载。