摘要:
POST注入简介 POST注入属于注入的一种,相信大家在之前的课程中都知道POST\GET两种传参方式。 POST注入就是使用POST进行传参的注入,本质上和GET类型的没什么区别。 POST注入高危点 登录框、查询框等各种和数据有交互的框 最经典的POST注入案例:'or 1=1 Sqlmap如何 阅读全文
摘要:
HEAD注入原理 HEAD注入顾名思义就是在传参的时候,将我们的数据构建在http头部。 HEAD注入的使用场景 为什么网站要记录你的ip或者请求头,是为了方便你的二次登陆,区分你的登陆地址和设备,可以更高的自适应。[所以~游客一般不会被记录,头注入一般都发生在登陆或者留言的地方比较多] 超全局变量 阅读全文
摘要:
DNS注入原理: 通过我们构造的数据,访问搭建好的DNS服务器,查看DNS访问的日志即可获取我们想要得到的数据。 DNS注入使用场景: 在某些无法直接利用漏洞获得回显的情况下,但是目标可以发起请求,这个时候就可以通过DNSlog把想获得的数据外带出来。 对于sql盲注,常见的方法就是二分法去一个个猜 阅读全文
摘要:
前言: MSSQL注入攻击是最为复杂的数据库攻击技术,由于该数据库功能十分强大,存储过程以及函数语句十分丰富,这些灵活的语句造就了新颖独特的攻击思路。 MSSQL的显错注入操作: 以联合查询为例: 猜字段 联合查询:union all 猜出输出点使用null填充 注释只有 +、 a 没有 查询系统库 阅读全文
摘要:
SQL注入的本质:就是将用户输入的数据当作代码带入执行。 注入条件: 1.用户能控制输入 2.能够将程序原本执行的代码,拼接上用户输入的数据进行执行 首先检查是否存在注入点 Rank1: 构造语句 ?id=1 and 1=1 没有报错 ?id=1 and 1=2 也没有显示错误,检查是否被过滤了 ? 阅读全文