POST注入介绍
1.注入攻击的本质:
是把用户输入的数据当做代码执行。
这里有两个关键条件:
第一个是用户能够控制输入
第二个是原本程序要执行的代码,拼接了用户输入的数据
2.POST注入属于注入的一种:
POST注入就是使用POST进行传参的注入,本质上和GET类型的没什么区别
POST注入高危点:
登录框
查询框
等各种和数据库有交互的框
GET/POST
区别:
GET传参的数据有限,比较少
POST传参的数据可以比较大
3.攻击流程:
1;判断是否存在sql注入漏洞。
2;判断网页存在字段数。
3;判断回显点。
4;获取信息。
靶场
掌控安全靶场地址:http://inject2.lab.aqlab.cn:81/Pass-05/index.php
查看源码我们可以发现:
$sql = 'select *from user where username =\''.$username.