文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

sql注入之类型以及提交注入的示例分析

2023-06-20 18:44

关注

这篇文章主要介绍sql注入之类型以及提交注入的示例分析,文中介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们一定要看完!

参数类型

这里说的参数是源码中存在注入的地方。

其中参数类型有:数字、字符、搜索、json等。

其中sql语句干扰符号有:',",%,),}等,过滤首先考虑闭合这些符号,再进行注入测试。

例如php中的代码:

$name = $_GET['x']$sql = "select * from user where name='$name'";

请求时:

http://www.xxx.com/x.php?id=xxx and 1=1返回sql语句:select * from user where name='xxx and 1=1'过滤方法:http://www.xxx.com/x.php?id='xxx and '1'='1

许多网站有搜索功能,其搜索框可能存 在注入点,注入时需闭合%。

sql中的搜索:

select *from user where name like '%参数%';

明确请求方法

请求方法有:GET、POST、COOKIE、REQUEST、HTTP头等

GET请求:通过url直接请求

POST请求:通过请求正文进行请求

COOKIE:cookie属于请求头部分,有些网站可通过cookie请求的数据进行注入

REQUEST请求:既可以通过GET请求,也可以通过POST请求

HTTP头:HTTP请求头域中有些参数值可能存在可以访问服务器中数据库中某些信息,可能存在注入

1.GET请求

sqlilabs第5关:

sql注入之类型以及提交注入的示例分析

提交无反应,说明参数有有东西,查看源码

sql注入之类型以及提交注入的示例分析

发现参数用单引号括起来了,需要闭合。

sql注入之类型以及提交注入的示例分析

提交无反应,说明是无回显注入,暂时介绍到这里,后续在讲无回显注入方法。

sqlilabs第6关

第六关仍是无回显

sql注入之类型以及提交注入的示例分析

sql注入之类型以及提交注入的示例分析

查看源码

sql注入之类型以及提交注入的示例分析

发现参数用双引号括起来的,要过滤双引号

sql注入之类型以及提交注入的示例分析

2.POST請求

sqlilabs第11关

sql注入之类型以及提交注入的示例分析

抓个包试试:

sql注入之类型以及提交注入的示例分析

是post请求方法,直接构造post请求方法进行注入

sql注入之类型以及提交注入的示例分析

3.COOKIE注入

sqlilabs第20关

sql注入之类型以及提交注入的示例分析

被转义,尝试cooki注入:

sql注入之类型以及提交注入的示例分析

测试可行。

4.http头注入

sqlilab第18关

sql注入之类型以及提交注入的示例分析

显示ip和User Agent,通过分析源码,这里对uname和passwd参数进行了处理,但是还有两个新的全局变量可控,ip和user-agent:

sql注入之类型以及提交注入的示例分析

修改User-Agent内容为xxx,发包:

sql注入之类型以及提交注入的示例分析

通过修改User-Agent进行报错注入:

sql注入之类型以及提交注入的示例分析

以上是“sql注入之类型以及提交注入的示例分析”这篇文章的所有内容,感谢各位的阅读!希望分享的内容对大家有帮助,更多相关知识,欢迎关注编程网行业资讯频道!

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯