一、UA头注入
原理:有些网站会把用户的UA信息写入数据库,用来收集和统计用户信息,此时就有可能存在UA 头注入,一般会把数据插入到某张表中所以可以用报错注入。
例子:
1、正常登录
2、利用burp修改ua头注入(此处判断为insert或者update)所以用报错注入
二、Cookie注入
原理:Cookie 就是一段字符串,是浏览器保存服务器返回数据的方法,通常保存用户身份信息。是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息,一般情况客户端把cookie发送给服务端,服务端拿cookie用来查询所以此处可以用union注入,报错注入。
例子:
1、正确账号登录,获取cookie
2、利用burp抓包
3、 修改cookie注入 and和&&等效
三、Referer注入
原理:当你访问一个网站的时候,你的浏览器需要告诉服务器你是从哪个地方访问服务器的,大部分网站或者app都会写入数据库用来分析量从哪里来,以及统计广告投入的成本,一般会把数据插入到某张表中所以可以用报错注入。
例子:
1、利用burp抓包
2、 修改referer注入
总结
除了以上的三种常见注入外还有很多其他注入点,但凡需要写入到数据库里的数据都可能存在注入点。