SQL注入之cookie注入

最新推荐文章于 2024-04-04 11:14:08 发布
最新推荐文章于 2024-04-04 11:14:08 发布
阅读量983 收藏
点赞数
分类专栏: sql注入 web安全 文章标签: cookie注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kerun1/article/details/103414902
版权

cookie注入:

ASP环境:

在火狐浏览器中安装cookie插件
比如在代码层过滤了GET,POST请求方式中的参数可以中cookie注入
如:GET中x.asp?id=1’,x.asp?id=1 and 1=1提示非法参数情况,可以再cookie中进行尝试,在cookie中把?号后面的参数复制下来,写到cookie中,在url地址中删除ASP后面的所有参数访问即可,如cookie中:名字为id,内容为1,测试注入内容添加’或则and 1=2
注意:网站必须要用request接收参数是才可行。

PHP环境:

在火狐浏览器中安装cookie插件
1.一般存在于登入后的cookie中,如网站有用户注册的页面,可以先注册用户再进行测试。
2.在cookie中找到所有cookie值,找到字符或则数字型的
3.之后面添加单引号或双引号或者and 1=2 或则order by
在这里插入图片描述
在这里插入图片描述
4.在所有cookie中的进行测试,找到能让程序报错的即可判断为注入点,即可在该cookie中进行sql语句执行。
注意:php环境中不可用asp环境那种cookie注入方式。

夜里的游魂
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
《WEB安全渗透测试》(8)SQL注入实战:cookie注入
午夜安全
10-24 1223
《WEB安全渗透测试》(8)SQL注入实战:cookie注入 在这个URL里没有发现参数,使用Burp抓取数据后,发现cookie里存在数据。1)判断是否存在注入cookie里依次做如下修改:id=1’,id=1 and 1=1,id=1 and 1=2结果如下,说明存在SQL注入漏洞。2)查询字段数量判断出字段数量是:3。查询SQL语句插入位置。3)查询数据库库名(1)查询当前数据库库名(2)查询所有数据库库名像这样,构造不同的union注入语句......
24-5 sql注入攻击 - cookie注入
weixin_43263566的博客
03-01 193
Cookie(HTTP Cookie)是服务器发送到用户浏览器并保存在本地的一小段数据,用于记录用户的相关信息和状态。这些信息通常包括用户的身份标识、网站偏好设置、购物车内容等。通过在浏览器中设置Cookie,服务器可以在用户访问同一网站的不同页面或在不同时间点时识别用户,并提供个性化的服务。例如,网站可以使用Cookie来记住用户的登录状态,以便用户不必在每次访问时重新输入用户名和密码。
sql注入预计完全体
最新发布
2303_81631620的博客
04-04 862
Cookie是在HTTP协议下,服务器或脚本可以维护客户工作站上信息的一种方式。通常被用来辨别用户身份、进行session跟踪,最典型的应用就是保存用户的账号和密码用来自动登录网站。
SQL注入Cookie注入
weixin_43765321的博客
03-03 1117
1. Cookie背景介绍 Cookie最先是由Netscape (网景)公司提出的,Netscape官方文档中对Cookie的定义是这样的:Cookie是在HTTP协议下,服务器或脚本可以维护客户工作站上信息的一种方式。 Cookie的用途非常广泛,在网络中经常可以见到Cookie的身影。它通常被用来辨别用户身份、进行session跟踪,最典型的应用就是保存用户的账号和密码用来自动登录网站和电子商务网站中的“购物车”。 2. Cookie注入原理 Request对象的使用方法一般是这样的: reques
SQL Injection5(cookie注入
kid的博客
05-05 1716
SQL Injection5(cookie注入) 前言 我认为sql注入分为两种类型,一种字符型,一种数字型 这里的cookie注入,包括宽字节注入等等,更像是一种找注入点的方法吧。 cookie注入原理 如果你学过ASP 你应该会知道 Request.QueryString (GET) 或 Request.Form (POST)! 呵,没错,这就是我们用于读取用户发给WEB服务器的指定键中的值...
SQL注入Cookie注入
zh的博客
10-11 192
靶场地址:http://www.whalwl.host:8009 解题准备:本题需要使用sqlmap,kali自带 解题思路: 1、根据提示,添加cookie参数id=1,放到sqlmap中跑 sqlmap -u "http://www.whalwl.host:8009/user.php?" --cookie "id=1" --dbms mysql --level 2 显示存在注入 2、继续爆库名 sqlmap -u "http://www.whalwl.host:8009/u..
Sql漏洞注入cookie注入
Matheus的博客
08-01 1488
Cookie注入攻击 我们知道,一般的防注入程序都是基于“黑名单”的,根据特征字符串去过滤掉一些危险的字符。一般情况下,黑名单是不安全的,它存在被绕过的风险。比如有的防注入程序只过滤了通过GET、POST方式提交的数据,对通过Cookie方式提交的数据却并没有过滤,我们可以使用Cookie注入攻击。简单说, cookie是服务器给客户端的一种加密凭证,通常由客户端存储在本地,比如客户A 访问 XXXX.com,网页给了客户A一个123的凭证,客户B也去访问那个网址,网站给B一个456的凭证,以后A和B去访问
360提供的php防sql注入代码修改类
05-02
SQL注入是一种利用网站应用程序的漏洞,通过输入恶意SQL语句来控制数据库的攻击手段。攻击者可以获取、修改、删除数据库中的敏感信息,甚至完全控制整个系统。为了防止SQL注入,我们需要遵循以下原则: 1. 使用...
sql注入攻击之sqlmap
06-10
SQL注入攻击是网络安全领域中的一个重要话题,它涉及数据库和Web应用程序的交互。SQL注入是指攻击者通过在输入字段中插入恶意的SQL代码,欺骗Web应用执行非授权的数据库操作,从而获取敏感信息或破坏数据库系统。...
cookie-sql-南方数据网站
10-05
这是一个存在漏洞的网页,它可用于获取cookie来进行SQL注入,很方便。
鬼客、cookie 全自动SQL注入工具
03-03
鬼客、cookie 全自动SQL注入工具 自动注入COOKIES漏洞的网站,无需COOKIES中转
SQL注入-cookie注入
LJH1999ZN的博客
02-11 1924
cookie 注入
sql注入类型之cookie注入
hhhshd的博客
11-12 4901
sql注入类型 通过上一次的sql注入类型学习中,学习到了两个基本的注入类型数字型注入和字符型注入。 此篇文章将更加深入学习sql注入中更多的注入类型。 数字型注入 字符型注入 cookie注入 cookie注入 cookie注入学习之前,我们通过sqlilabs中我们通过Post注入cookie注入中的第十一题与二十题的php代码进行分析 此图片为sqlilabs中第十一题Post注入中php代码, 通过下面图片代码分析,在Post注入中Post是没有做任何的防护措施,所以注入可以通过Post注入
关于sql注入cookie注入
whatday的专栏
12-05 7537
小知识:所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。比如先前的很多影视网站泄露VIP会员密码大多就是通过W
cookie中转注入,使用sqlmap中转注入
椰树ii
04-29 7367
一,判断是否有cookie注入:目标网站http://www.xxx.com/x.asp?id=11.在IE浏览器访问去掉参数(id=1)的url: http://www.xxx.com/x.asp?(加载页面,显示不正常,原因是没有输参数)。2.在IE浏览器输入javascript:alert(document.cookie="id="+escape("1"));(添加cookie信息),再次访...
SQL注入cookie注入:原理、步骤、示例
07-08 4788
【SQL-cookie注入
Cookie注入(PHP页面)
海宝最美的博客
12-12 965
靶机地址:http://www.whalwl.top:8009 【2020年8月前有效】 一、准备工作: 在火狐浏览器上安装一个叫ModHeader的插件,请求头修改神器。 记住它的样子,然后就可以行动了。怎么弄插件,此插件怎么用,请大家自行百度,我是不会跑题的。 二、过程步骤: 1、判断是否存在注入 id=1’ //报错 id=1 and 1=1 //不报错 i...
XSS与SQL注入攻防详解
SQL注入" 这篇文章主要探讨了两种常见的网络安全威胁:XSS(跨站脚本攻击)和SQL注入。XSS攻击是当恶意脚本被注入到网页上,然后由其他用户浏览器执行时发生的。这种攻击通常用于窃取用户的会话信息、cookie或其他...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值