【小迪安全学习笔记】WEB漏洞-注入类型及提交注入

最新推荐文章于 2024-03-21 11:54:26 发布
最新推荐文章于 2024-03-21 11:54:26 发布
阅读量426 收藏 2
点赞数 2
分类专栏: 学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_55227191/article/details/117717833
版权
本文详细介绍了WEB漏洞中的注入类型,包括参数字符型、POST数据、COOKIE数据、HTTP头部参数和JSON数据的注入测试。通过实例展示了如何识别和利用这些注入点,并探讨了PHP中的$_SERVER变量和SQL语句的干扰符号。同时,强调了不同请求方式对注入的影响,以及如何通过抓包工具进行测试和绕过过滤机制。
摘要由CSDN通过智能技术生成 
在真实SQL注入安全测试中,我们一定要先明确提交数据及提交方法后再进行注入,其中提交数据类型和提交方法可以通过抓包分析获取,后续安全测试中我们也必须满足同等的操作才能进行注入。
![在这里插入图片描述](https://img-blog.csdnimg.cn/2021060822422727.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzU1MjI3MTkx,size_16,color_FFFFFF,t_70#pic_center)

简要明确参数类型

在这里插入图片描述
数字
如果是数字的话可能不存在单引号
在这里插入图片描述
对方在数字上加单引号也是有可能的,要看对方的写法
在这里插入图片描述即使有注入也会带入单引号里,产生不了任何作用,所以我们要做的前提是先要把它的符号闭合掉
在这里插入图片描述
也有可能有括号,注入的时候只有一点点去尝试
在这里插入图片描述
搜索
将数据进行搜索并进行展示,搜索符号是%,在过滤的时候要过滤单引号和百分号,不然你的语句全部在单引号和百分号里
在这里插入图片描述
JSON等

简要明确请求方式

根据网站的情况来获取相应的请求方法,请求方法可以通过在访问网站的时候审查元素里数据包的前缀看查看,找到Request Headers(请求头)

最低0.47元/天 解锁文章
Akriosx
关注
专栏目录
小迪安全学习笔记WEB漏洞-SQL注入之简要SQL注入
Akrios的博客
05-24 1089
在本系列课程学习中,SQL注入漏洞是将是重点部分,其中SQL注入又非常复杂,区分各种数据库类型提交方法,数据类型注入,我们需要按部就班的学习,才能学会相关SQL注入的核心。同样此类漏洞WEB安全中严重的安全漏洞学习如何利用,挖掘,修复也是很重要的。 SQL注入安全测试中危害 分为两类:危害数据库里的数据、直接危害到网站的权限(需要满足条件) SQL注入产生原理详细分析 见案例 SQL语句在定义的时候没有变量,就不能进行SQL注入 可控变量,带入数据库查询,变量为存在过滤或过滤不严谨 可能存在注入
WEB漏洞- 注入类型提交注入
硫酸超的博客
07-28 714
注入类型提交注入前言简要明确参数类型数字字符搜索简要明确请求方式演示 前言 在真实SQL注入安全测试中,我们一定要先明确提交数据及提交方法后再进行注入,其中提交数据类型提交方法可以通过抓包分析获取,后续安全测试中我们也必须满足同等的操作才能进行注入。 简要明确参数类型 数字 如果是数字的话可能不存在单引号 对方在数字上加单引号也是有可能的,要看对方的写法,因为纯数字的话加不加单引号是无所谓的,但还是得看前端的代码里有没有单引号 字符 一般是采用单引号 如果参数是字符的话那肯定是有单引号的 即使有
小迪安全day14】WEB漏洞——SQL注入类型提交注入
RichUee的博客
12-06 579
在真实 SQL 注入安全测试中,我们一定要先明确提交数据及提交方法后再进行注入,其中提交数据类型提交方法可以通过抓包分析获取,后续安全测试中我们也必须满足同等的操作才能进行注入
SQL注入之——分类及提交方式
温柔小薛的博客
04-01 1076
攻击分类及提交方式 注入前的准备与注入漏洞检测 在进行 SQL 注入攻击时,需要利用到从服务器返回的各种出错信息,默认设置是不显示详细错误返回信息的,因此首先要取消 IE 浏览器返回信息设置,以便查看到注入攻击时返回的数据库信息 将浏览器设置选项高级 显示取消友好 HTTP 错误信息 手工检测 SQL 注入点 最常用的 SQL 注入点判断方法,是在网站中寻找如下形式的网页链接。 htt...
WEB攻防-通用漏洞&SQL注入-类型&提交方式&盲注
m0_65336233的博客
10-10 730
WEB攻防-通用漏洞&SQL注入-类型&提交方式&盲注
web攻击之三:SQL注入攻击的种类和防范手段
weixin_30328063的博客
10-21 324
观察近来的一些安全事件及其后果,安全专家们已经得到一个结论,这些威胁主要是通过SQL注入造成的。虽然前面有许多文章讨论了SQL注入,但今天所讨论的内容也许可帮助你检查自己的服务器,并采取相应防范措施。 SQL注入攻击的种类 1、内联 SQL 注入(Inline SQL Injection) 内联注入是指向查询注入一些SQL 代码后,原来的查询仍然会全部执行。 1.1、字符串内联...
B站小迪安全学习笔记第11天-WEB漏洞必懂知识点讲解
m0_61530426的博客
07-18 955
B站小迪安全笔记
小迪安全学习笔记WEB漏洞-必懂知识点
Akrios的博客
05-21 1937
前言:讲解各种WEB层面上的有哪些漏洞类型,具体漏洞的危害等级,以及简要的影响范围测试进行实例分析,思维导图中的漏洞也是我们将要学习到的各个知识点,气质针对漏洞的形成原理,如何发现,如何利用。 CTF,SRC,红蓝对抗,实战等 简要说明以上漏洞危害情况 每个漏洞危害情况不同 简要说明以上漏洞等级划分 漏洞危害决定漏洞等级 高危漏洞:SQL注入、文件上传、文件包含、代码执行、未授权访问、命令执行 影响:直接影响到网站权限和数据库权限,能够获取数据或者网站的敏感文件。涉及到数据安全和权限的丢失都为高危漏洞
小迪网络安全笔记》 第十二节:WEB漏洞-SQL注入之简要SQL注入
小陈的博客
08-20 4865
前言 在本系列课程学习中,SQL注入漏洞将是重点部分,其中SQL注入又非常复杂,区分各种数据库类型提交方法,数据类型注入,我们需要按部就班的学习,才能学会相关SQL注入的核心。同样此类漏洞WEB安全中严重的安全漏洞学习如何利用,挖掘,修复也是很重要的。 注:左边的比右边的难,学习顺序为从右向左。 一、忍者安全测试系统使用说明 二、上述思维导图简要说明 操作系统:windows和linux对大小写敏感不同,如果查了操作系统可以避免这个问题。 数据库名:如果不知道数据库名查询的时候会有问题。
Web漏洞-类型提交注入
最新发布
qq_54190167的博客
03-21 304
web漏洞-类型提交注入
小迪安全系列笔记---13MYSQL注入入门
weixin_51143604的博客
06-22 614
小迪安全系列笔记13
小迪安全学习笔记 sql注入 DAY12-13
m0_50936156的博客
06-13 316
mysql注入 目录mysql注入判断注入点_方法:旧方法:简单方法:判断注入:信息收集注释高权限与低权限用户的区别:跨库查询(高权限)文件读取操作 判断注入点_方法: 旧方法: Id = 1 and 1=1 页面正常 Id = 1 and 1=2 页面错误 简单方法: 对参数的上传值改变,观察页面变化 判断注入: 猜列名数量(字段数)order by x x为页面正常与错误的值 信息收集 数据库版本: version() 数据库名 :database() 数据库用户:user() 操作系统:@@v
七、Web组件注入
weixin_46203713的博客
11-16 665
七、Web组件注入 1、Web原生组件注入(Servlet、Filter、Listener) 方式一:使用 @ServletComponentScan + web3.0注解的方式 在MainApplicationContext主启动类上加上ServletComponentScan("")注解 @ServletComponentScan("day01.view") @SpringBootApplication public class MainApplicationContext { publ
[小迪安全13-17天]sql注入
weixin_54252904的博客
05-12 277
注入手法 Cookie注入 sqli-labs-master/Less-20/为例 正常提交是无法进行注入的,可以通过cookie注入 GET方式注入 就如正常注入一样先判断字符型还是数字型,有无回显,有无报错等 HTTP头部注入 sqli-labs-master/Less-18/为例 可以看到有user-agent回显说明有可能与http头部信息有联系 ...
sqli-labs-master 下载、搭建
m0_63521991的博客
01-28 1061
sqli-labs-master 是一个帮助用户学习和测试 SQL 注入漏洞的开源项目。它提供了一系列的环境,用户可以在这些环境中进行实验,学习如何检测、利用和防御 SQL 注入攻击。sqli-labs 下载地址: github.com/Audi-1/sqli-labs。
sqliabs环境的搭建过程和安装
zbbjya的博客
01-08 1145
我也不太会其中的原理我不大懂,等我懂了再来慢慢解释,先记录一下 1 首先将下载sqliabs的压缩包零零零零 2再下载一个phpstudy 3将sqliabs的压缩包解压到phpstudy的WWW目录下 然后你打开 然后在这里改个密码最好不要用root当密码可能会不成功(我也不知道为什么我在这个过程中是这样的在多方的帮助下搭好的我现在还不太懂等我懂了再来解释一下) 改好了之后我们打开拍phpstudy 先保证这两个是能够启动的 然后检查一下的数据库有没有 ph...
Web安全注入漏洞详解及预防
路多辛的所思所想
01-31 918
注入类攻击是 Web 安全领域中最常见的攻击方式,注入攻击发生在当不可信的数据作为命令或者查询语句的一部分被发送给解释器的时候。预防注入类攻击的最好方法是代码审核,可以将静态的(SAST)、动态的(DAST)和交互式(IAST)的安全测试工具集成到 CI/CD 流程中,以便在部署到生产环境之前检测出并解决掉注入安全问题。注意避免xml注入、代码注入、SQL注入、HTML注入注入安全问题的发生,一定要在数据拼接的地方进行安全检查,对拼接内容进行严格校验和必要的转义处理。常见的注入漏洞及预防措施。
sqli-liabs通关之旅
weixin_42123571的博客
03-17 720
sqli-liabs通关之旅 第一关 加‘报错 加‘--+正常 ?id=-1' order by 3 --+ 页面正常 ?id=-1' order by 4 --+ 页面错误 判断字段长度为3 确定回显点: id=-1' union select 1,2,3--+ 猜数据库: -1' union select 1,database(),3--+ 猜表名: -1' union sele...
"WEB安全基础-合集篇:SQL注入、XSS、CSRF等全面学习指南
WEB安全基础-合集篇,涵盖了基础SQL注入、文件上传、XSS、CSRF、文件包含、逻辑漏洞等内容。这篇文章适合新手学习参考,通过学习这些知识可以快速了解渗透测试的基础知识。 在这篇合集中,作者首先介绍了WEB安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值