post注入与get注入位置不同,传参方式不同,但注入方式大致相似。通常对于账密输入框进行传参。
- 了解前端数据传输位置,以及前后端交互方式。
- 找寻可控区域
- 进行注入,与get传参方式大同小异,但--+为url编码形式,仅get传参方式使用,post使用#注释掉后续内容。
- 找回显点,有可能在前端页面也有可能在前端代码中。如果在代码中,可以先尝试输入错误信息看回显。
二,工具注入
- 使用不怕抓包(不要忘记开代理)
- 找注入点(可以在前加上星号让其优先运行)
- 注入点一般在数据交互的地方。
- 前端注入(请求头注入)
- 常见注入方式:User-Agent注入,cookie注入,xff注入。
- 寻找可绕过的过滤进行注入。
- 原理一样,都是将会被检测的部分改为恶意语句,一旦检测就执行,执行则注入成功。
- 仅注入位置改变,其余部分基本一致。