笔记-类型及提交注入

简介: 类型及提交注入

前言

在真实 SQL 注入安全测试中,我们一定要先明确提交数据及提交方 法后再进行注入,其中提交数据类型和提交方法可以通过抓包分析获取, 后续安全测试中我们也必须满足同等的操作才能进行注入。

知识点

简要明确参数类型

数字,字符,搜索,JSON 等

字符要加单引号' 数字不用加格式

sql中搜索中会有% 注入时要闭合单引号'%

其中 SQL 语句干扰符号:',",%,),}等,具体需看写法

简要明确请求方法

GET,POST,REQUEST,HTTP 头,COOKIE等

get提交方法:?get=1 post提交方法:hackbar工具中 postdata cookie提交方法:cookie: request 全部接受 get post提交方式都接受

server:$_server[''] atp头部注入

json注入:

{
  'user':'sec0nd'
  'pass':'123456'
}

案例演示

  • 参数字符型注入测试=>sqlilabs less 5 6
  • POST 数据提交注入测试=>sqlilabs less 11
  • 参数 JSON 数据注入测试=>本地环境代码演示
  • COOKIE 数据提交注入测试=>sqlilabs less 20
  • HTTP 头部参数数据注入测试=>sqlilabs less 18
sec0nd
+关注
目录
打赏
0
0
0
0
2
分享
相关文章
|
10月前
|
【二十八】springboot之通过threadLocal+参数解析器实现同session一样保存当前登录信息的功能
【二十八】springboot之通过threadLocal+参数解析器实现同session一样保存当前登录信息的功能
189 1
【MyBatisPlus·最新教程】包含多个改造案例,常用注解、条件构造器、代码生成、静态工具、类型处理器、分页插件、自动填充字段
MyBatis-Plus是一个MyBatis的增强工具,在 MyBatis 的基础上只做增强不做改变,为简化开发、提高效率而生。本文讲解了最新版MP的使用教程,包含多个改造案例,常用注解、条件构造器、代码生成、静态工具、类型处理器、分页插件、自动填充字段等核心功能。
【MyBatisPlus·最新教程】包含多个改造案例,常用注解、条件构造器、代码生成、静态工具、类型处理器、分页插件、自动填充字段
使用`MockMvc`额外的补充和高级用法
使用`MockMvc`额外的补充和高级用法
84 3
这篇文章介绍了如何使用form表单结合Bootstrap格式将前端数据通过action属性提交到后端的servlet,包括前端表单的创建、数据的一级和二级验证,以及后端servlet的注解和参数获取。
这篇文章介绍了使用AJAX技术将前端页面中表单接收的多个参数快速便捷地传输到后端servlet的方法,并通过示例代码展示了前端JavaScript中的AJAX调用和后端servlet的接收处理。
这篇文章介绍了如何使用form表单结合Bootstrap格式将前端数据通过action属性提交到后端的servlet,包括前端表单的创建、数据的一级和二级验证,以及后端servlet的注解和参数获取。
记录页面修改差异(java注解实现)
记录页面修改差异(java注解实现)
|
10月前
|
C++
C++:类的补充知识
C++:类的补充知识
51 0