转:json注入
2024-09-26 14:36:32
现在大部分web采用ajax通信,数据表现为json格式,因此可以尝试进行json注入。
json注入:根据实际情况进行注入。有的时候,可能是为了方便,有人会手动拼接下JSON,但是这种随手代码,却可能带来意想不到的安全隐患。
第一种方式,利用字符串拼接:
String user = "test01";
String password = "12345', admin:'true";
String json = "{user:'%s', password:'%s'}";
System.out.println(String.format(json, user, password));
//{user:'test01', password:'12345', admin:'true'},用户增加了管理员权限。
第二种,利用Parameter pollution, 类似http parameter pollution
String string = "{user:'test01',password:'hello', password:'world'}";
JSONObject parse = JSON.parseObject(string);
String password = parse.getString("password");
第三种,纯粹DOS。即使得解析错误。
最新文章
- iis部署文件支持svg
- 牛逼的OSQL----大数据导入
- -Xmx 和 –Xms 设置最大堆和最小堆
- 详述Linux ftp命令的使用方法
- 在iphone上安装多个微信 【微信营销必备】
- 移动WEBAPP开发常规CSS样式总结
- spark新能优化之序列化的持久化级别
- PostQueuedCompletionStatus
- C++ 11 之推导关键词
- bzoj1406
- Neral的前言
- Fibonacci数列前n项值的输出(运用递归算法)
- 使用VIM将文件的其中的连续几行注释删除或者给其中的连续几行添加注释
- 【javascript】随机颜色
- ReactiveX 学习笔记(27)使用 RxJS + Vue.js 进行 GUI 编程
- Visual Studio 注释与取消注释快捷键
- php 执行 命令行命令
- Python基础(中)
- Android -- 再来一发Notification
- php判断文件夹是不是存在