摘要： 1>检测到目标URL存在SQL注入漏洞1.1 url参数必须编码,Server.UrlEncode("")1.2 数据库操作的查询条件一定不要拼接，必须使用参数如@id,@name 2>检测到目标URL存在宽字节跨站漏洞 3>检测到目标URL存在跨站漏洞 3.1 url参数编码，Server.Url 阅读全文

摘要： 简介 宽字节跨站漏洞多发生在GB系统编码。 对于GBK编码，字符是由两个字节构成，在%df遇到%5c时，由于%df的ascii大于128，所以会自动拼接%5c，吃掉反斜线。而%27 %20小于ascii(128)的字符就会保留。通常都会用反斜线来转义恶意字符串，但是如果被吃掉后，转义失败，恶意的xs 阅读全文