首页 > 试题广场 >

以下请求是一个订单提交的请求，请观察该请求包，说出你认为可能

[不定项选择题]

以下请求是一个订单提交的请求，请观察该请求包，说出你认为可能存在的安全风险点（）：
POST http://test.mi.cn/insert.html HTTP/1.1
Host: test.mi.com
Referer: http://test.mi.cn/index.php?data=58
Cookie: uid=1504174654;

addressid=1&productid=123&num=1&price=120

```
CSRF
```
```
订单金额篡改
```
```
越权操作
```
```
SQL 注入
```

查看答案及解析

混世小魔王苏城

CSRF（Cross-site request forgery）跨站请求伪造，也被称为“One Click Attack”或者Session Riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。

发表于 2019-07-03 19:36:29 回复(0)

心在不焉

只知道A，使用了cookie ，cookie是网站为了辨识用户身份，用session跟踪用户而储存在用户终端的信息。而CSRF可以盗用你的身份也就是盗用你的cookie。也即是CSRF会在你没有退出网站的时候，你上了一个危险网站，他会跟踪到你的cookie，通过你访问你所未关闭的那个网站，并进行操作

发表于 2021-12-03 11:58:20 回复(0)

小大饼

我觉得是否可以 SQL 注入，从 HTTP 看不出来吧，这个没法确定后端是否会被注入啊。

发表于 2019-09-06 22:11:32 回复(2)

猿来

abcd

发表于 2018-07-28 13:10:14 回复(0)

牛客-120抢救中心

个人理解，不对勿喷

A.有cookie

B.改price=120

C.修改addressid等有可能会改掉其他人的信息

D.字段对应值中嵌入SQL

发表于 2018-08-02 23:49:55 回复(3)

yuqcc

***

发表于 2021-09-07 01:46:22 回复(0)

理性的烤冷面面试中

最后一段是啥，一个请求，主机信息和cookie，后面的是…… html里面的吗

编辑于 2024-02-06 12:50:42 回复(0)

Andrew9646

不懂这里的越权操作是哪里来的？这里看到的两个前缀几乎一样的URL很快就想到了CSRF，最后一个addressid携带了商品信息，甚至都是明文，感觉能修改。SQL注入则是PHP那个网页，貌似可以修改data的值，以前读过类似的，但更加符合直觉的是，看到A选项的insert命名方式，SQL语句不就包含insert语法吗？

发表于 2023-01-15 00:21:03 回复(0)

_Archer_

浏览器可以设置不带referer

发表于 2022-08-24 08:34:17 回复(0)

哎呀妈呀，真香

只听过跨域脚本攻击，没听过A这种缩写，***题目

发表于 2018-08-09 18:43:21 回复(1)

fighting--

都有可能

发表于 2018-08-09 13:27:04 回复(0)

提交观点

问题信息

网络基础

上传者：林呼

难度：

11条回答 445收藏 3663浏览

以下请求是一个订单提交的请求，请观察该请求包，说出你认为可能

问题信息

热门推荐

相关试题