ローカルプロキシツールを使って送信したパラメータ値を観察する

1. このページの目的

ローカルプロキシツールを使って編集したパラメータ値が、サーバー側ではどのように伝わっているかを調べる。

本ページではPHPを利用して調査する。

2. 実験のためのForm

$_GET['foo']

original: string(0) ""
bin2hex_: string(0) ""
hex2bin_: string(0) ""

$_POST['bar']

original: string(0) ""
bin2hex_: string(0) ""
hex2bin_: string(0) ""

3. 結果

種類 結果(16進)
*a
結果
*a をhex2bin()で戻した文字列
GET param '(シングルクォート) 27 '
POST param '(シングルクォート) 27 '
GET param 1/0 31 2F 30 1/0
POST param 1/0 31 2F 30 1/0
GET param abc' and 'a'='b 61 62 63 27 20 61 6E 64 20 27 61 27 3D 27 62 abc' and 'a'='b
POST param abc' and 'a'='b 61 62 63 27 20 61 6E 64 20 27 61 27 3D 27 62 abc' and 'a'='b
GET param 123 and 1=0 31 32 33 20 61 6E 64 20 31 3D 30 123 and 1=0
POST param 123 and 1=0 31 32 33 20 61 6E 64 20 31 3D 30 123 and 1=0
GET param |/bin/sleep 20| 7C 2F 62 69 6E 2F 73 6C 65 65 70 20 32 30 7C |/bin/sleep 20|
POST param |/bin/sleep 20| 7C 2F 62 69 6E 2F 73 6C 65 65 70 20 32 30 7C |/bin/sleep 20|
GET param ;/bin/sleep 20; 3B 2F 62 69 6E 2F 73 6C 65 65 70 20 32 30 3B ;/bin/sleep 20;
POST param ;/bin/sleep 20; 3B 2F 62 69 6E 2F 73 6C 65 65 70 20 32 30 3B ;/bin/sleep 20;
GET param ../../../../../../../bin/sleep 20| 2E 2E 2F 2E 2E 2F 2E 2E 2F 2E 2E 2F 2E 2E 2F 2E 2E 2F 2E 2E 2F 62 69 6E 2F 73 6C 65 65 70 20 32 30 7C ../../../../../../../bin/sleep 20|
POST param ../../../../../../../bin/sleep 20| 2E 2E 2F 2E 2E 2F 2E 2E 2F 2E 2E 2F 2E 2E 2F 2E 2E 2F 2E 2E 2F 62 69 6E 2F 73 6C 65 65 70 20 32 30 7C ../../../../../../../bin/sleep 20|
GET param ;ping -nc 20 127.0.0.1; 3B 70 69 6E 67 20 2D 6E 63 20 32 30 20 31 32 37 2E 30 2E 30 2E 31 3B ;ping -nc 20 127.0.0.1;
POST param ;ping -nc 20 127.0.0.1; 3B 70 69 6E 67 20 2D 6E 63 20 32 30 20 31 32 37 2E 30 2E 30 2E 31 3B ;ping -nc 20 127.0.0.1;
GET param &ping -nc 20 127.0.0.1& 元のパラメータの値は空文字となり、ping_-nc_20_127_0_0_1 という名前のパラメータ(値は空文字)が追加される。 なし
POST param &ping -nc 20 127.0.0.1& 元のパラメータの値は空文字となり、ping_-nc_20_127_0_0_1 という名前のパラメータ(値は空文字)が追加される。 なし
GET param $(../../../../../../../bin/sleep 20) 24 28 2E 2E 2F 2E 2E 2F 2E 2E 2F 2E 2E 2F 2E 2E 2F 2E 2E 2F 2E 2E 2F 62 69 6E 2F 73 6C 65 65 70 20 32 30 29 $(../../../../../../../bin/sleep 20)
POST param $(../../../../../../../bin/sleep 20) 24 28 2E 2E 2F 2E 2E 2F 2E 2E 2F 2E 2E 2F 2E 2E 2F 2E 2E 2F 2E 2E 2F 62 69 6E 2F 73 6C 65 65 70 20 32 30 29 $(../../../../../../../bin/sleep 20)
GET param %0d%0a%0d%0akensa 0D 0A 0D 0A 6B 65 6E 73 61 kensa
(改行文字は表示されない)
POST param %0d%0a%0d%0akensa 0D 0A 0D 0A 6B 65 6E 73 61 kensa
(改行文字は表示されない)
GET param ">'><s>XSS 22 3E 27 3E 3C 73 3E 58 53 53 ">'><s>XSS
POST param ">'><s>XSS 22 3E 27 3E 3C 73 3E 58 53 53 ">'><s>XSS
GET param <script>alert(1)</script> 3C 73 63 72 69 70 74 3E 61 6C 65 72 74 28 31 29 3C 2F 73 63 72 69 70 74 3E <script>alert(1)</script>
POST param <script>alert(1)</script> 3C 73 63 72 69 70 74 3E 61 6C 65 72 74 28 31 29 3C 2F 73 63 72 69 70 74 3E <script>alert(1)</script>
GET param javascript:alert(1) 6A 61 76 61 73 63 72 69 70 74 3A 61 6C 65 72 74 28 31 29 javascript:alert(1)
POST param javascript:alert(1) 6A 61 76 61 73 63 72 69 70 74 3A 61 6C 65 72 74 28 31 29 javascript:alert(1)
POST param '+alert(1)+' 27 20 61 6C 65 72 74 28 31 29 20 27 ' alert(1) '
GET param "onmouseover="alert(1) 22 6F 6E 6D 6F 75 73 65 6F 76 65 72 3D 22 61 6C 65 72 74 28 31 29 "onmouseover="alert(1)
POST param "onmouseover="alert(1) 22 6F 6E 6D 6F 75 73 65 6F 76 65 72 3D 22 61 6C 65 72 74 28 31 29 "onmouseover="alert(1)
GET param #">'><img src=x onerror=alert(1)> 23 22 3E 27 3E 3C 69 6D 67 20 73 72 63 3D 78 20 6F 6E 65 72 72 6F 72 3D 61 6C 65 72 74 28 31 29 3E #">'><img src=x onerror=alert(1)>
POST param #">'><img src=x onerror=alert(1)> 23 22 3E 27 3E 3C 69 6D 67 20 73 72 63 3D 78 20 6F 6E 65 72 72 6F 72 3D 61 6C 65 72 74 28 31 29 3E #">'><img src=x onerror=alert(1)>
GET param ../../../../../../../../../etc/hosts%00 2E 2E 2F 2E 2E 2F 2E 2E 2F 2E 2E 2F 2E 2E 2F 2E 2E 2F 2E 2E 2F 2E 2E 2F 2E 2E 2F 65 74 63 2F 68 6F 73 74 73 00 ../../../../../../../../../etc/hosts
(末尾のNULL文字は表示されない)
POST param ../../../../../../../../../etc/hosts%00 2E 2E 2F 2E 2E 2F 2E 2E 2F 2E 2E 2F 2E 2E 2F 2E 2E 2F 2E 2E 2F 2E 2E 2F 2E 2E 2F 65 74 63 2F 68 6F 73 74 73 00 ../../../../../../../../../etc/hosts
(末尾のNULL文字は表示されない)

4. 結論

5. 参考