SQL注入之Sqli-labs系列第二十关(基于头部的cookie POST报错注入)
2024-09-30 20:10:37
开始挑战第十八关(Cookie Injection-Error Based- string)
前言:
通常开发人员在开发过程中会特别注意到防止恶意用户进行恶意的注入操作,因此会对传入的参数进行适当的过滤,但是很多时候,由于个人对安全技术了解的不同,有些开发人员只会对get,post这种方式提交的数据进行参数过滤,往往会忽略掉cookie
同样的先来看看源代码,这里先会判断有没有cookie,若无,则先查询出来后在设置Cookie
对于cookie又存在两种情况:
(1)第一种在登录退出后没有对cookie进行清除,这样cookie仍然是有效的,页面就会输出各种信息
(2)第二种情况,你点击了删除按钮
后台就会吧cookie的时间设置为过期的时间,这样cookie就失效了
所以我们下手的地方就在这,在登录不对Cookie进行删除进行操作
同样的单引号等其他方式先看看报错信息
这里大家应该能看懂是怎么回事吧,看不懂就翻翻我前面的文章,闭合操作搞起
order by进行字段数查询,这里是三个
union select联合查询
获取数据库
获取表名
获取字段名
获取数据
最新文章
- SAML : A SAML stack
- STM
- http请求详解
- IOS 日志输出控制
- C++学习25 纯虚函数和抽象类
- js代码的一些小技巧
- EasyTouch 3.1中文翻译
- USB2.0的基本学习
- centos6.5设备mysql5.6
- CodeForces 678C Joty and Chocolate
- x264源代码简单分析:x264_slice_write()
- java连接服务器语法
- leetcode894
- 论文笔记系列-Speeding Up Automatic Hyperparameter Optimization of Deep Neural Networks by Extrapolation of Learning Curves
- 关于ashrpt中行源的CPU + Wait for CPU事件深入解读
- bbs项目引入富文本编辑器和处理xss攻击和文章预览
- Educational Codeforces Round 34 (Rated for Div. 2) D - Almost Difference(高精度)
- view变化监听器ViewTreeObserver介绍
- CentOS6.4之图解SSH无验证双向登陆配置
- Ubuntu软件包管理器
热门文章
- python 小练习2
- UI基础一:简单的BOL查询
- vs 2017 Integrated Security 为sspi 含义
- mybatis的update使用选择
- 【转】Vue 2.0封装axios笔记
- 查验身份证 (15 分) 一个合法的身份证号码由17位地区、日期编号和顺序编号加1位校验码组成。校验码的计算规则如下: 首先对前17位数字加权求和,权重分配为:{7,9,10,5,8,4,2,1,6,3,7,9,10,5,8,4,2};然后将计算的和对11取模得到值Z;最后按照以下关系对应Z值与校验码M的值:
- linux nat style
- Cracking The Coding Interview 4.7_暂存
- jdk8-全新时间和日期api
- httppost core net