伪静态网站注入方法,通常情况下,动态脚本的网站的url类似下面这样:
http://www.91ri.org/news.php?id=111
做了伪静态之后就成这样了:
http://www.91ri.org/news.php/id/111.html
以斜杠“/”代替了“=”并在最后加上.html,这样一来,就无法直接用工具来注入了。
常规的伪静态页面如下:
http://www.XXX.com/play/Diablo.htm
例如关联的动态页面是game.php ,那么当用户访问后程序会自动转换成类似http://www.XXX.com/game.php?action=play&name=Diablo 的形式
注入点检测可以用:http://www.XXX.com/play/Diablo’ and 1=’1.html与
http://www.XXX.com/play/Diablo’ and 1=’2.html来判断
通常情况下,动态脚本的网站的url类似下面这样:
http://www.xxoo.net/aa.php?id=123
做了伪静态之后类似这样
:http://www.xxoo.net/aa.php/id/123.html
以斜杠“/”代替了“=”并在最后加上.html,这样一来,就无法直接用工具来注入了!
微信公众号