版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
什么是伪静态
“伪静态”顾名思义就是一种表面上看似是静态网页(以.html、.htm等结尾),不存在任何的数据交互,却其实是动态网页,存在数据交互的网站,具有这种特性的网页成为“伪静态网页”。我们看到的伪静态网页其实是经过处理的,将动态网页的id等参数通过URL重写来隐藏,让查看者以为是静态网页。
如何辨明伪静态网站
如果看到一个以.html或者.htm结尾的网页,此时可以通过呢在在地址输入框中输入:
javascript:alert(document.lastModified),来得到网页最后的修改时间,如果得到的时间和现在时间一致,此页面就是伪静态,反之是真静态;因为动态页面的最后修改时间总是当前时间,而静态页面的最后修改时间则是它生成的时间。
例如:
在平时的测试过程中我们经常会看到这样一类奇特的地址:
http://xxx.xxx.xx.xx:xxx/test.php/id/1.html (原型一般为:http://xxx.xxx.xx.xx:xxx/test.php?id=1 )
像上面这种类型的网址URL,往往是一种伪静态网页,遇到这种情况可以直接对".html"之前的参数加“'”进行判断是否存在注入!
如何对伪静态网站进行注入
对于伪静态网站可以使用sqlmap工具进行自动化注入攻击
命令如下:
sqlmap -u http://xxx.xx.xx.xx:xx/test.php/id/1.html --database
至于之后的爆表、爆字段、爆字段值就不再一一提了!