14、SQL注入——HTTP文件头注入

一、HTTP Header概述

1.1 HTTP工作原理

1.2 HTTP报文类型

（1）请求报文
由客户端发给服务器得消息，其组成包括请求行、请求头域和请求体。

HTTP请求方法

• GET ：请求指定得页面信息，并返回实体主体。
• HEAD：类似GET请求，只不过返回得响应中没有具体内容，用户获取报头。
• POST：向指定资源提交数据进行处理请求（例如提交表单或上传文件）。数据被包含在请求体中。POST请求可能会导致新的资源的建立或已有资源的修改。
• PUT：从客户端向服务器传送的数据取代指定的文档内容。
• DELETE：请求服务器删除指定的页面。
• CONNECT：HTTP/1.1协议中预留给能够将连接改为管道方式的代理服务器。
• OPTIONS：允许客户端查看服务器的性能。
• TRACE：回显服务器收到的请求，主要用于测试或诊断。
• PATCH：是对PUT方法的补充，用来对已知资源进行局部更新。

（2）响应报文
由服务器回复给客户端得消息，其组成包括状态行、响应头域和响应体。

• 文件夹存在响应码：403，文件夹不存在响应码：404
• 文件存在响应码：200，文件不存在响应码：404。
• 3XX：跳转，判断可有可无（不能放过）。
• 5XX：内部错误、服务器问题，判断可有可无（不能放过）。

1.3 较重要的HTTP Header内容

• User-Agent：使服务器能够识别客户端使用的操作系统、浏览器版本等（很多数据量大的网站中会记录客户使用的操作系统或浏览器版本等）。
• Cookie：网站为了辨别用户身份、进行seesion跟踪而存储在用户本地终端上的数据（通常经过加密）。
• Host：客户端指定自己想访问的web服务器的域名/IP地址和端口号。
• X-Forwarded-For：简称XXF头，它代表客户端（即HTTP的请求端）真实的IP（通常一些网站的防注入功能会记录请求端真实IP地址并写入数据库或某文件，通过修改XXF头可以实现伪造IP）。
• Client-IP：同上。
• Referer：浏览器向web服务器表明自己是从哪个页面链接过来的。

二、HTTP Header注入

后台开发人员为了验证客户端HTTP Header（比如常用的Cookie验证等）或者通过HTTP Header头信息获取客户端的一些信息（比如User-Agent、Accept字段等），会对客户端HTTPHeader进行获取并使用SQL语句进行处理，如果此时没有足够的安全考虑，就可能导致基于HTTP Header的注入漏洞。

2.1 HTTP Header注入的前提条件

• 能够对请求头信息进行修改
• 修改的请求头信息能够带入数据库执行
• 数据库没有对输入的请求头做过滤

2.2 常见的HTTP Header注入类型

（1）Cookie注入
常见场合：服务器对cookie字段进行获取，以验证客户端的身份。

（2）Referer注入
常见场合：服务器记录referer字段用于统计网站的点击量。

（3）User-Agent注入
常见场合：1）服务器记录访问者的信息，如浏览器版本、操作系统版本等；2）服务器根据User-Agent提供的信息来给客户端推送不同的网页。

User-Agent注入的sql语句一般使用insert语句，例如sqli-labs的Less-18后端语句：
inset into security.uagents('uagent','ip_address','username') values ('$uagent','$ip','$uname')
其实也可以根据报错信息来判断后端语句：

故，注入后语句应该为：

（4）XFF注入
常见场合：一些网站的防注入功能会记录客户端真实IP地址并写入数据库。

可以在原时的HTTP请求包中添加头部字段X-Forwarded-For。