今日学习:WEB安全,渗透测试安全培训
讲师:小迪 QQ:471656814
第一讲 搭建环境介绍
第二讲 后门格式+sql注入
初识sql注入漏洞原理:
网站没有对输入的字符进行过滤,导致输入的字符影响到网站数据的查询。
编程 数学逻辑思维 and or xor 且 或 否
或:有一个真就是真
且:有一个假就为假
否:相反
http://www.zhjzg.com/ship.asp?id=4 and 1=1 正确 and 1=2 错误
and exists (select [pwd] from [admin]) sql语句
第三讲 没找到,没有记录
第四讲 三大web提交方式:GET POST COOKIE
get:直接在浏览器上面访问地址
post:按钮事件(会员注册,文件上传等)
cookie:访问网站下面自带的身份验证的值
请不要在参数中出现:and update delete ; insert mid master 等非法字符!
普通的注入就没办法了,可以尝试大小写,编码等绕过,但是过滤严谨,无法绕过!
代码审计:get 请求进行了过滤
<!--#Include File="inc/Check_Sql.asp"-->
<!--#include file="inc/conn.asp"-->
<!--#include file="inc/Skin_css.asp"-->
<!-- #include file="inc/config.asp" -->
<!-- #include file="Head.asp" -->
<!--#include file="inc/Function.asp"-->
了解cookie注入:注入中转,工具注入(sqlmap,穿山甲等),手工cookie注入
标签:字符,第一天,get,2023,学习,过滤,cookie,sql,注入 From: https://www.cnblogs.com/anjingxiedaima/p/17073076.html