笔记-类型及提交注入

简介: 类型及提交注入

前言

在真实 SQL 注入安全测试中,我们一定要先明确提交数据及提交方 法后再进行注入,其中提交数据类型和提交方法可以通过抓包分析获取, 后续安全测试中我们也必须满足同等的操作才能进行注入。

知识点

简要明确参数类型

数字,字符,搜索,JSON 等

字符要加单引号' 数字不用加格式

sql中搜索中会有% 注入时要闭合单引号'%

其中 SQL 语句干扰符号:',",%,),}等,具体需看写法

简要明确请求方法

GET,POST,REQUEST,HTTP 头,COOKIE等

get提交方法:?get=1 post提交方法:hackbar工具中 postdata cookie提交方法:cookie: request 全部接受 get post提交方式都接受

server:$_server[''] atp头部注入

json注入:

{
  'user':'sec0nd'
  'pass':'123456'
}

案例演示

  • 参数字符型注入测试=>sqlilabs less 5 6
  • POST 数据提交注入测试=>sqlilabs less 11
  • 参数 JSON 数据注入测试=>本地环境代码演示
  • COOKIE 数据提交注入测试=>sqlilabs less 20
  • HTTP 头部参数数据注入测试=>sqlilabs less 18
目录
相关文章
|
Java
SpringMvc 参数是对象,包含不提交基本类型的时候 400错误
Field error in object 'pojectInfo' on field 'staffCount': rejected value []; codes [typeMismatch.
941 0
|
10月前
|
C++
C++:类的补充知识
C++:类的补充知识
53 0
|
数据安全/隐私保护
fastadmin中写接口是时Validate规则验证自定义如何用
fastadmin中写接口是时Validate规则验证自定义如何用
320 0
修改了代码,但是不想提交应该怎么设置呢
在开发过程中,为了防止本地调试时修改的配置文件被误提交,可以采用以下方法:先点击“commit”,然后右键选择“Move to Another Changelist”,并为新变更列表命名。提交时忽略该列表即可避免误提交。
|
10月前
|
Java Spring
Spring 使用注解注入失败,调用内容时提示空指针
Spring 使用注解注入失败,调用内容时提示空指针
65 0
|
4月前
|
SQL Java 数据库连接
【MyBatisPlus·最新教程】包含多个改造案例,常用注解、条件构造器、代码生成、静态工具、类型处理器、分页插件、自动填充字段
MyBatis-Plus是一个MyBatis的增强工具,在 MyBatis 的基础上只做增强不做改变,为简化开发、提高效率而生。本文讲解了最新版MP的使用教程,包含多个改造案例,常用注解、条件构造器、代码生成、静态工具、类型处理器、分页插件、自动填充字段等核心功能。
【MyBatisPlus·最新教程】包含多个改造案例,常用注解、条件构造器、代码生成、静态工具、类型处理器、分页插件、自动填充字段
接口参数注解验证案例
写作缘由 写接口的时候经常会有请求体里某字段不为null的需求;也有使用一个dto对象,但是插入和修改都想使用这个dto,那这样的话判断条件就不一样,因为修改操作必须有ID,所以参数验证还是挺麻烦的。所以写个demo记录一下,亲测可用。
183 0
|
内存技术
核心代码(未注释)
//---------------------------------------------------Overvar Over = new Object();Over.Init = function(e) {    Over.
748 0