本文探讨了在测试过程中如何检查get传参的错误,包括判断传参名、识别漏洞、防御SQL注入,以及利用updatxml等函数进行恶意路径操控。特别提到针对部分目标文件的预防机制,如Base64编码和函数禁用以防止注入漏洞。
黑盒 (试针对get传参)
如何测试报错传参
一,判断传参名(大部分情况自己显示)
二,判断是否存在漏洞,and 1=1 正常显示and1=2不正常显示,被执行返回结果并判断知道传参名为前提的情况下才可以使用报错传参
三,报错注入sql注入很好防御且成本低下,所以说漏洞很少,利用updatxml()之类的函数注入,括号内可写三个参数为目标文件,文件路径,改后内容
四,将路径更改为恶意语句,让目标为的报错,使得路径可被执行
五,部分目标文件有预防机制,可以利用base 64转码以逃避关键字来执行,同时也可以用raplace替代,可以将数字转换为字母同时也可以禁用部分函数来预防注入漏洞
2024年2月20日星期二
1445
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
