Prince of BlackBox
Prince of BlackBox
خواندن ۱ دقیقه·۵ سال پیش

چالش شماره ۳ HTTP - User-agent

در برخی مواقع توسعه دهندگان وب ممکن است به یوزر اجنت خاصی اطلاعات خاصی را نمایش دهند یا مثلا اگر یوزر اجنت شما فلان چیز خاص بود پیغامی متفاوت با سایرین دریافت کنید یا صفحه ای متفاوت مشاهده کنید.

پس تغییر یوزر اجنت به شخصی که کار تست نفوذ انجام می دهد ممکن است در پیش برد اهدافش کمک کند.

همانگونه که در تصویر مشاهده می کنید به شما پیغامی مبنی بر اینکه یوزر اجنت شما ادمین نیست نشان داده شده است.

تصویر شماره ۱
تصویر شماره ۱

حال ما inspect element را در مرورگر انتخاب می کنیم و یا می توانیم از افزونه هایی که به ما اجازه تغییر هدر یک درخواست وب (HTTP Request) را می دهد و یا از نرم افزار معروف Burp suite برای تغییر هدر استفاده کنیم.

همانند شکل زیر بخش network را در inspect element انتخاب می کنیم و یکبار صفحه رو به روز رسانی می کنیم. تا درخواست ها نشان داده شوند.

تصویر شماره ۲
تصویر شماره ۲

اولین درخواست را مانند شکل انتخاب می کنیم و Edit and Resend در سمت راست صفحه را برای تغییر هدر کلیک می کنیم. حالا کافی است مانند شکل زیر یوزر اجنت را به ادمین تغییر دهیم و کلید send را کلیک نماییم.

تصویر شماره ۳
تصویر شماره ۳

حال کافی است آخرین درخواست ارسالی را در بخش Network را انتخاب و پاسخ دریافتی را در سمت راست در تب Response مشاهده نمایید. همانگونه که در تصویر زیر مشاهده می کنید پرچم به شما نمایش داده می شود.

تصویر شماره ۴
تصویر شماره ۴
پس اگر به کار تست نفوذ مشغول هستید از افزونه های تغییر User Agent غافل نشوید، شاید اطلاعات مفیدی از طریق آن بدست آورید. و اگر توسعه دهنده وب هستید دقت کنید که در صورت تعویض هدر و یا یوزر اجنت چه اطلاعاتی را به کاربر می دهید.
چالش سوم root meتست نفوذhttp user agentتست نفوذ سمت سرور
در اینجا برخی از مطالبی که برای انجام تست نفوذ لازم است و یا برخی از مسایل مربوط به امنیت شبکه به زبان فارسی بیان خواهد شد.
شاید از این پست‌ها خوشتان بیاید