HTTP 自定义头中的 SQL 注入

HTTP 自定义头中的 SQL 注入

前言

本文主要分享的是在自定义 HTTP 标头请求中找到的关于 SQL 注入的发现。

正文

目标为:redacted.com,成功登录后，请求中还有一个 HTTP 标头，User 标头，该值是登录到应用程序的用户名。

POST /abcd/abcd
Authorization: token
Host: redacted.com
User: user.abc
Postman-Token: token
...

{body request}

尝试更改IDOR可能性的用户名，但服务器通过提供带有500内部错误代码的消息和无法获得此API访问的错误消息来验证它。

因为这个参数是经过验证的，所以它也可能用于SQL注入，所以尝试基本的SQL注入payload'OR 1=1中，然后发送请求，服务器很容易接受请求并提供有效信息。

得到了一个有效的SQL注入，当然sqlmap将完成剩下的工作。但是有了这个漏洞，事实证明，我们也可以在没有授权令牌的情况下向服务器请求。

原文始发于微信公众号（迪哥讲事）：HTTP 自定义头中的 SQL 注入