2. 程式人生 > >看好你的門-客戶端傳資料(5)-用java修改referer

看好你的門-客戶端傳資料(5)-用java修改referer

阿新 發佈:2019-02-07

首先需要宣告,本文純屬一個毫無遠見和真才實學的小小開發人員的愚昧見解,僅供用於web系統安全方面的參考。

1、 簡單說明
Referer用來表明,瀏覽器向 WEB 伺服器表明自己來自哪裡。
但是就它本身而言,並非完全安全。
寫一個例子,可以任意修改http資訊頭中的referer

2、 準備:
用httpClient4.0來具體實現


package com.safe;

import org.apache.http.HttpEntity;
import org.apache.http.client.methods.CloseableHttpResponse;
import org.apache
 
.http.client.methods.HttpGet;
import org.apache.http.impl.client.CloseableHttpClient;
import org.apache.http.impl.client.HttpClients;
import org.apache.http.util.EntityUtils;

/**
 * 用httpClient 模擬修改referer屬性,僅供用於WEB安全防範示例。
 * 
 * @author 範芳銘
 */
public class EasyModifyHeader {
    public static void main(String[] args) throws Exception {
        CloseableHttpClient httpclient = HttpClients.createDefault
 
();
        try {
            //HttpGet httpGet = new HttpGet("http://test.laizi.cn:8080/114/bm/accountLogin");
            String url = "http://127.0.0.1:8080/webStudy/http_accept.jsp";
            HttpGet httpGet = new HttpGet(url);
            httpGet.setHeader("referer", "http://www.bucunzai.com/admin.jsp");
            CloseableHttpResponse response = httpclient.execute
 
(httpGet);
            try {
                HttpEntity entity = response.getEntity();
                //列印目標網站輸出內容
                System.out.println(EntityUtils.toString(entity));
                EntityUtils.consume(entity);    
            } finally {
                response.close();
            }
        } finally {
            httpclient.close();
        }
    }
}

4、 執行後結果

“`



看好你的門-阿飯同學


如果不是來自超級管理員,那麼我無法被訪問(超級管理員是來自一個叫做admin.jsp的頁面,保持在http頭中的referer)
地址:127.0.0.1
編碼:null
referer:http://www.bucunzai.com/admin.jsp
host:127.0.0.1:8080
connection:Keep-Alive
user-agent:Apache-HttpClient/4.3.6 (java 1.5)
accept-encoding:gzip,deflate

不是管理員,請從管理員頁面進入


相關推薦

看好-客戶資料(5)-java修改referer

首先需要宣告,本文純屬一個毫無遠見和真才實學的小小開發人員的愚昧見解,僅供用於web系統安全方面的參考。 1、 簡單說明 Referer用來表明,瀏覽器向 WEB 伺服器表明自己來自哪裡。 但是就它本身而言,並非完全安全。 寫一個例子,可以任意修改ht

netty處理客戶過來的get、post、websocket資料例子

package com.penngo.http; import java.net.InetSocketAddress; import java.util.concurrent.Executors; import org.jboss.netty.bootstrap.ServerBootstrap; import

藍芽小試牛刀之模擬藍芽客戶向服務資料

今天我們來實現一下客戶端和服務端通過藍芽傳資料 效果圖如下: 這個佈局太簡單了,我就不給出了,直接上邏輯. MainActivity: public class MainActivity extends Activity implements

如何測試客戶app開的接口

請求方式 測試 width 類型 tle 自動 進制數 png left 這裏介紹一款工具用於測試後臺給客戶端開的接口。 采用http或者https 采用表單或者json格式 這款工具之前是谷歌瀏覽器的一款插件,後來出現了各個平臺的客戶端。非常實用。 名叫postm

spring mvc通過客戶值,controller獲取Sort對象

padding {} margin 獲取 use -c 發現 creat 多個 之前客戶端需要根據需求按不同的排序方式查看數據,按照一種約定排序,比如1代表時間升序,2代表時間降序,3,4這種形式,然後後臺根據這些值創建Sort對象。 後來發現完全多此一舉,可以根據特定的方

openLDAP客戶部署(centos6.5)

系統/運維 Linux 部署openLDAP服務端的文檔有很多,但是客戶端的網上都是寫著混亂,導致初學第一次安裝掉了很多坑下面是快速搭建可以正常認證的客戶端部署步驟:一共分為三步:第一步:yum install open-ldap-clients nss-pam-ldapd nss-util auth

Vue來進行移動Hybrid開發和客戶資料傳輸的一種方法

如果大家覺得有用,更多的模組請點選檢視 即上一篇Vue 頁面狀態保持頁面間資料傳輸的一種方法,今天我們說說我們團隊是怎麼和客戶端進行互動。 為什麼到了今天,還要提hybrid開發,就我所在團隊從中獲得的好處有: 團隊較小、業務較重、迭代頻繁、需要緊急響應的團隊和專案比較適合用 使用單頁應用技術

使用spring的ResponseEntity封裝返回客戶json資料

dea程式碼編輯區的右上角有個Download Sources,可以點選下載帶註釋的原始碼 定義一個JsonResultUtils工具類 1 package com.xxx.admin.common.utils; 2 3 import com.xxx.admin.common.enums.M

簡單的java socket TCP程式設計 每隔幾秒伺服器向客戶時間

客戶端 package javaSocket; import java.io.*; import java.net.*; import org.junit.Test; import jinghai.base.time.LocalDateTime; import jinghai.base.uti

使用Java客戶資料載入到Grakn知識圖中

本教程說明了如何使用Grakn的Java Client將CSV,JSON或XML格式的資料集遷移到Grakn知識圖中。 我們將在本文中討論的phone_calls.知識圖稱為此知識圖的模式在此處的前一篇文章中定義。 如果您已經熟悉Grakn,並且您需要的只是一個遷移示例,您會發現這個Github儲存庫

【開發筆記】Unity聯網鬥地主的實現(一,伺服器與客戶資料傳遞流程)

話不多說,先上我李老師的思維導圖 大致構思了一個框架 1.首先要定義一下伺服器與客戶端的傳輸協議,必須保持一致 2.定義服務於客戶端傳輸的訊息型別,如(申請加入,同意加入,出牌,之類的) 3.定義一下牌的型別,出的牌的型別,在客戶端判斷是否可以出牌,牌型傳給伺服器,伺服器在完成三個玩家的出

Liunx--scoket程式設計學習--客戶檔案給伺服器

一、操作步驟 0.編寫程式碼:程式碼在後面。client.c,server.c,server_multiple.c。用前面兩個程式就好,第三個是多執行緒同時服務多個客戶端的。 1.編譯   (1)編譯客戶端程式 gcc client.c -o clie

kafka-0.10.0.1版本在java客戶傳送資料接收不到

錯誤日誌: org.apache.kafka.common.errors.TimeoutException: Batch containing 100 record kafka版本:0.10.0.1 zookeeper版本: 3.4.5 產生的現象: 編寫好java

Python_Socket_接送來自客戶資料出現亂碼

最新在學python,問題有很多,但過程還算美好,有問題都及時解決了 下面附上碰到的用網路除錯助手傳送中文,服務端接收亂碼解決思路 這個網路除錯助手的預設編碼格式應該是gbk,所以解碼的時候用格式用gbk 下面是服務端接收資訊的程式碼: import soc

客戶傳入資料的校驗-RestController進階

 使用Hibernate Validator進行資料校驗 Bean Validation註解(需要加入相關依賴,在SpringBoot中可以直接使用,SpringBoot會幫我們直接加入) @Null 驗證物件是否為空(屬性必須為空,客戶不能傳入此屬性,否則會報錯) @NotNull 驗證物件是否為非空(屬

使用異或和base64_encode 進行對儲存在客戶資料進行簡單的加密

一般加密 <?php /** * Created by PhpStorm. * User: admin * Date: 2018/10/14 * Time: 11:29 */ namespace app\common\lib; /**進行

ES通過http客戶獲取資料,自動識別返回型別

在通過http客戶端傳送sql請求時。形式如下: 192.168.90.xxx:9200/_sql?sql=select * from car order by ctime desc limit 0,2 當sql中包含欄位排序時,從json中接收的返回資料會進行自動型別識別,不再固定

客戶提交資料給伺服器,如果資料中帶有中文的話,有可能會出現亂碼情況

request: 如果是GET方式 程式碼轉碼 String username = request.getParameter("username"); String password = request.getParameter("password"); String use

淘淘商城23_在Linux上的操作_solrJ客戶_01資料匯入索引庫

一、需求 建立一個taotao-search工程, 做為一個服務的工程,     taotao-search-web 是一個前端訪問的工程.前臺進行訪問的時候,直接訪問的是taotao-search-web這個工程. 匯入資料庫資料的時候,使用的是後臺

windows客戶開發--讓客戶崩潰之前生成dump檔案

debug時候我們可以很快速、精確的定位問題所在。 但是對於release版本,我們往往無能為力。 尤其面對一群難纏的客戶,情況就會更加糟糕。 而且對於release版本來說,crash的時候日誌系統往往起不到任何作用。而且,我們也不可能捕獲所有的異常,更