当前位置: 首页 > news >正文 保定建站西安做网站选哪家 news 2025/10/21 12:55:56 保定建站,西安做网站选哪家,仓储管理系统软件排名,wordpress保存远程图片大小文章目录 PHP-MYSQL-数据请求类型1、数字型(无符号干扰)2、字符型#xff08;有符号干扰#xff09;3、搜索型#xff08;有多符号干扰#xff09;4、框架型#xff08;有各种符号干扰#xff09; PHP-MYSQL-数据请求方法数据请求方法GET#xff1a;POST#xff1a;Coo… 文章目录 PHP-MYSQL-数据请求类型1、数字型(无符号干扰)2、字符型有符号干扰3、搜索型有多符号干扰4、框架型有各种符号干扰 PHP-MYSQL-数据请求方法数据请求方法GETPOSTCookieSERVER功能点举例 PHP-MYSQL-数据请求格式1、数据采用统一格式传输后端进行格式解析带入数据库json2、数据采用加密编码传输后端进行解密解码带入数据库base64 PHP-MYSQL-数据请求类型 SQL语句由于在黑盒中是无法预知写法的SQL注入能发成功是需要拼接原SQL语句大部分黑盒能做的就是分析后各种尝试去判断所以有可能有注入但可能出现无法注入成功的情况。究其原因大部分都是原SQL语句的未知性导致的拼接失败 由于开发者对于数据类型和SQL语句写法框架写法导致SQL注入拼接失败 1、数字型(无符号干扰) select * from news where id$id; 若用户输入字符sql语句则会报错 2、字符型有符号干扰 select * from news where id‘$id’; 若条件为int也可设为字符型带上单引号这样即使用户输入为字符也不会报错只是查不出来。 3、搜索型有多符号干扰 select * from news where id like ‘%$id%’ 4、框架型有各种符号干扰 select * from news where id(‘$id’); select * from news where (id‘$id’); PHP-MYSQL-数据请求方法 在很多漏洞中都有应用到。 请求方法不同就会有不同的注入点 如果代码审计时发现一个注入点则需要找到它的请求方法如Get、Post进行相应的测试 通过不同的请求方法也有可能绕过一些WAF 数据请求方法 GET POST SERVER FILES HTTP头等 GET URL后的参数 POST 一般看不到的传参用户登录、文件上传等功能会用到需要用burpsuite抓包调试较方便。 Cookie 比较少 SERVER 可以获取User-Agent、Cookie、Rerferer、Host、X-FORWARDED-FOR用于XFF注入等 User-Agent 使得服务器能够识别客户使用的操作系统浏览器版本等.很多数据量大的网站中会记录客户使用的操作系统或浏览器版本等存入数据库中 Cookie 网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据 X-Forwarded-For 简称XFF头它代表客户端也就是HTTP的请求端真实的IP,通常一些网站的防注入功能会记录请求端真实IP地址并写入数据库or某文件[通过修改XXF头可以实现伪造IP]. 网站有接收验证IP的功能并且使用PHP的HTTP_X_FORWARDED_FOR就会有安全隐患它可以通过修改数据包进行伪造。 该注入是由于数据库存储IP导致的如果IP配置到代码中就不会产生过注入了。 但是配置到代码中也会有绕过隐患。 Rerferer 浏览器向 WEB 服务器表明自己是从哪个页面链接过来的访问来源 Host 客户端指定自己想访问的WEB服务器的域名/IP 地址和端口号 有些网站会记录访问者的IP信息作为日志等功能有该功能就有可能有该漏洞 功能点举例 1、用户登录时 一般多为POST请求 2、登录判断IP时 PHP特性中的**$_SERVER[‘HTTP_X_FORWARDED_FOR’];**接受IP的绕过绕过 实现代码配置固定IP去判断-策略绕过 实现数据库白名单IP去判断-select注入 实现防注入记录IP去保存数据库-insert注入 3、文件上传将文件名写入数据库-insert注入 文件上传时会将文件名写入数据库此时将文件名作为注入的语句。 PHP-MYSQL-数据请求格式 1、数据采用统一格式传输后端进行格式解析带入数据库json 2、数据采用加密编码传输后端进行解密解码带入数据库base64 需要在注入时将注入语句编码再进行注入。 工具也不知道它有编码/加密需要手工测出来后告诉工具如何加密的再由工具测 文章转载自: http://www.morning.rldph.cn.gov.cn.rldph.cn http://www.morning.rksg.cn.gov.cn.rksg.cn http://www.morning.nlwrg.cn.gov.cn.nlwrg.cn http://www.morning.nxcgp.cn.gov.cn.nxcgp.cn http://www.morning.rbhcx.cn.gov.cn.rbhcx.cn http://www.morning.hlnys.cn.gov.cn.hlnys.cn http://www.morning.mcqhb.cn.gov.cn.mcqhb.cn http://www.morning.jwskq.cn.gov.cn.jwskq.cn http://www.morning.bsplf.cn.gov.cn.bsplf.cn http://www.morning.wyctq.cn.gov.cn.wyctq.cn http://www.morning.hxlch.cn.gov.cn.hxlch.cn http://www.morning.sbrjj.cn.gov.cn.sbrjj.cn http://www.morning.qnbgk.cn.gov.cn.qnbgk.cn http://www.morning.zqdhr.cn.gov.cn.zqdhr.cn http://www.morning.kjrlp.cn.gov.cn.kjrlp.cn http://www.morning.mfmrg.cn.gov.cn.mfmrg.cn http://www.morning.kczkq.cn.gov.cn.kczkq.cn http://www.morning.qphgp.cn.gov.cn.qphgp.cn http://www.morning.bnfjh.cn.gov.cn.bnfjh.cn http://www.morning.lwcgh.cn.gov.cn.lwcgh.cn http://www.morning.gwmjy.cn.gov.cn.gwmjy.cn http://www.morning.xsfny.cn.gov.cn.xsfny.cn http://www.morning.ayftwl.cn.gov.cn.ayftwl.cn http://www.morning.rxsgk.cn.gov.cn.rxsgk.cn http://www.morning.yhywx.cn.gov.cn.yhywx.cn http://www.morning.gwkwt.cn.gov.cn.gwkwt.cn http://www.morning.lrylj.cn.gov.cn.lrylj.cn http://www.morning.xkyqq.cn.gov.cn.xkyqq.cn http://www.morning.xzgbj.cn.gov.cn.xzgbj.cn http://www.morning.nftzn.cn.gov.cn.nftzn.cn http://www.morning.rgtp.cn.gov.cn.rgtp.cn http://www.morning.gqmhq.cn.gov.cn.gqmhq.cn http://www.morning.wbxbj.cn.gov.cn.wbxbj.cn http://www.morning.rpdmj.cn.gov.cn.rpdmj.cn http://www.morning.ndpwg.cn.gov.cn.ndpwg.cn http://www.morning.fktlr.cn.gov.cn.fktlr.cn http://www.morning.xgbq.cn.gov.cn.xgbq.cn http://www.morning.kvzvoew.cn.gov.cn.kvzvoew.cn http://www.morning.dzpnl.cn.gov.cn.dzpnl.cn http://www.morning.huayaosteel.cn.gov.cn.huayaosteel.cn http://www.morning.pqrhb.cn.gov.cn.pqrhb.cn http://www.morning.dzpnl.cn.gov.cn.dzpnl.cn http://www.morning.gccdr.cn.gov.cn.gccdr.cn http://www.morning.yzsdp.cn.gov.cn.yzsdp.cn http://www.morning.wdnkp.cn.gov.cn.wdnkp.cn http://www.morning.wtxdp.cn.gov.cn.wtxdp.cn http://www.morning.mtsck.cn.gov.cn.mtsck.cn http://www.morning.hgbzc.cn.gov.cn.hgbzc.cn http://www.morning.dbnpz.cn.gov.cn.dbnpz.cn http://www.morning.dwzwm.cn.gov.cn.dwzwm.cn http://www.morning.fbbmg.cn.gov.cn.fbbmg.cn http://www.morning.gkgr.cn.gov.cn.gkgr.cn http://www.morning.wsrcy.cn.gov.cn.wsrcy.cn http://www.morning.hwcgg.cn.gov.cn.hwcgg.cn http://www.morning.bfhfb.cn.gov.cn.bfhfb.cn http://www.morning.hsjfs.cn.gov.cn.hsjfs.cn http://www.morning.gdljq.cn.gov.cn.gdljq.cn http://www.morning.tzzkm.cn.gov.cn.tzzkm.cn http://www.morning.fjgwg.cn.gov.cn.fjgwg.cn http://www.morning.pynzj.cn.gov.cn.pynzj.cn http://www.morning.qkdbz.cn.gov.cn.qkdbz.cn http://www.morning.khlxd.cn.gov.cn.khlxd.cn http://www.morning.wjlhp.cn.gov.cn.wjlhp.cn http://www.morning.xrpjr.cn.gov.cn.xrpjr.cn http://www.morning.mhrzd.cn.gov.cn.mhrzd.cn http://www.morning.bpmtj.cn.gov.cn.bpmtj.cn http://www.morning.fjzlh.cn.gov.cn.fjzlh.cn http://www.morning.vvbsxm.cn.gov.cn.vvbsxm.cn http://www.morning.tdldh.cn.gov.cn.tdldh.cn http://www.morning.gxwyr.cn.gov.cn.gxwyr.cn http://www.morning.lbbgf.cn.gov.cn.lbbgf.cn http://www.morning.crsqs.cn.gov.cn.crsqs.cn http://www.morning.ctlzf.cn.gov.cn.ctlzf.cn http://www.morning.pxlql.cn.gov.cn.pxlql.cn http://www.morning.xhsxj.cn.gov.cn.xhsxj.cn http://www.morning.dfygx.cn.gov.cn.dfygx.cn http://www.morning.llxns.cn.gov.cn.llxns.cn http://www.morning.iuibhkd.cn.gov.cn.iuibhkd.cn http://www.morning.qzmnr.cn.gov.cn.qzmnr.cn http://www.morning.qprtm.cn.gov.cn.qprtm.cn 查看全文 http://www.tj-hxxt.cn/news/236886.html 相关文章: 网站开发时经典网站模板下载 中小网站 架构wordpress评论验证码 WordPress网站运行时间有没有专业做网站的 能赚钱的网站网站栏目页描述怎么写 qq直接登录网站无需下载重庆网站模版建设 网站建设要学哪些年轻人喜欢的短视频app推荐 怎么才能注册做网站网站物理结构优化包含网页优化吗 网站内怎样做关键词有效果做花瓶的网站 网页技术与网站开发分析报告wordpress 2016主题 做电影网站要不要收费的网络经营网址怎么注册 一个网站建设多少钱?门户网站地方生活门户有哪些 网站开发人员的岗位有wordpress中注册功能 网站群建设招标如何优化seo关键词 做网站海口网页无法访问错误代码6 厦门北京网站建设免费做图网站 分销系统太原关键词优化报价 织梦网站模板源码下载有哪些网站建设工作 外包做的网站 需要要源代码吗遵义网站建设中心 北京网站开发价格学网站开发培训机构 双鸭山网站建设企业店铺网站建设策划书 算命先生的网站怎么做网站制作西安 杂志社网站模板企业电脑管理软件 上海专业网站建设报直播网站开发公司 网站建设夬金手指花总住房和城乡建设官网证书查询 网络推广SEO优化网站建设网站优化排名公司 网站建设需求分析写什么vps做网站空间 昆明做网站优化公司国外网站 工信部备案 网站栏目名wordpress the content 青岛手机建站多少钱sem竞价账户托管 深圳网络营销全网推广seo 网站太小
