2016年5月26日
『SQL注入』 User-Agent 手工注入的探测与利用分析
摘要: 原理很简单:后台在接收UA时没有对UA做过滤,也没有PDO进行数据交互(实际PDO是非常有必要的),导致UA中有恶意代码,最终在数据库中执行。 Bug 代码: 本地顺手打了一个环境,Bug 代码部分: // 保存到访者的IP信息 其中 AutoExecute() 方法 代码如下: 可以看出 ip,u 阅读全文
posted @ 2016-05-26 23:45 Anka9080 阅读(7117) 评论(2) 推荐(0) 编辑