伪静态注入

最新推荐文章于 2024-07-25 09:58:57 发布
最新推荐文章于 2024-07-25 09:58:57 发布
阅读量1.6k 收藏 3
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29457453/article/details/104838570
版权

伪静态网站注入方法,通常情况下,动态脚本的网站的url类似下面这样:

http://www.91ri.org/news.php?id=111

做了伪静态之后就成这样了:

http://www.91ri.org/news.php/id/111.html

以斜杠“/”代替了“=”并在最后加上.html,这样一来,就无法直接用工具来注入了。

常规的伪静态页面如下:

http://www.XXX.com/play/Diablo.htm

例如关联的动态页面是game.php ,那么当用户访问后程序会自动转换成类似http://www.XXX.com/game.php?action=play&name=Diablo 的形式

注入点检测可以用:http://www.XXX.com/play/Diablo’ and 1=’1.html与

http://www.XXX.com/play/Diablo’ and 1=’2.html来判断

通常情况下,动态脚本的网站的url类似下面这样:

http://www.xxoo.net/aa.php?id=123

做了伪静态之后类似这样

:http://www.xxoo.net/aa.php/id/123.html

以斜杠“/”代替了“=”并在最后加上.html,这样一来,就无法直接用工具来注入了!
在这里插入图片描述
微信公众号

零客网络安全社区
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
伪静态注入
afei001
06-25 1923
伪静态伪静态”顾名思义就是一种表面上看似是静态网页(以.html、.htm等结尾),不存在任何的数据交互,却其实是动态网页,存在数据交互的网站,具有这种特性的网页成为“伪静态网页”。我们看到的伪静态网页其实是经过处理的,将动态网页的id等参数通过URL重写来隐藏,让查看者以为是静态网页。 伪静态网站 如果看到一个以.html或者.htm结尾的网页,此时可以通过在地址输入框中输入:javascript:alert(document.lastMod...
php伪静态注入,PHP针对伪静态注入实例分享
weixin_42608299的博客
03-11 251
本文主要主要介绍PHP针对伪静态注入,结合实例形式总结分析了php针对伪静态的常见注入情况,并附带asp与Python的相关操作代码,对于php程序安全有一定借鉴价值,需要的朋友可以参考下,希望能帮助到大家。一:中转注入法1.通过http://www.xxx.com/news.php?id=1做了伪静态之后就成这样了http://www.xxx.com/news.php/id/1.html2.测...
漏洞挖掘 | 记一次伪静态页面的SQL注入
2301_80127209的博客
06-11 439
在尝试sql注入的时候,往往过分关注get传参或者post传参而忽略了URL中自带的注入点,有时候一些明显的数字型参数也能够带入payload多尝试,多总结祝各位师兄们也都收获满满~~!申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。免费领取安全学习资料包!渗透工具技术文档、书籍面试题帮助你在面试中脱颖而出视频基础到进阶。
php伪静态注入,PHP针对伪静态注入的解析
weixin_29297127的博客
03-11 295
这篇文章主要介绍了PHP针对伪静态注入,结合实例形式总结分析了php针对伪静态的常见注入情况,并附带asp与Python的相关操作代码,对于php程序安全有一定借鉴价值,需要的朋友可以参考下本文实例讲述了PHP针对伪静态注入。分享给大家供大家参考,具体如下:一:中转注入法1.通过http://www.xxx.com/news.php?id=1做了伪静态之后就成这样了http://www.xxx...
php伪静态注入,PHP针对伪静态注入总结【附asp与Python相关代码】
weixin_32377497的博客
03-11 172
本文实例讲述了PHP针对伪静态注入。分享给大家供大家参考,具体如下:一:中转注入法1.通过http://www.xxx.com/news.php?id=1做了伪静态之后就成这样了http://www.xxx.com/news.php/id/1.html2.测试步骤:中转注入的php代码:inject.phpset_time_limit(0);$id=$_GET["id"];$id=str_rep...
sql注入之mysql数据库 sqlmap工具 伪静态注入 注入防御
weixin_46476861的博客
03-03 2855
python2和python3互不兼容,SqlMap是基于python2的,用2.7或之前的,所以SqlMap不支持python3 -u –level –risk -v 在包里参数进行测试语句 -m –mobile app通过抓包能得到url,但是不能在电脑地址栏里转到,所以需要模拟手机 -batch-smart 注入过程不需要在选择y或者n ctrl+c取消暴力破解 -r -p -threads 数据库外围命令
SQL注入之——伪静态注入
weixin_41657031的博客
07-15 2226
1.什么是伪静态注入? 答:“伪静态”顾名思义就是一种表面上看似是静态网页(以.html、.htm等结尾),不存在任何的数据交互,却其实是动态网页,存在数据交互的网站,具有这种特性的网页成为“伪静态网页”。我们看到的伪静态网页其实是经过处理的,将动态网页的id等参数通过URL重写来隐藏,让查看者以为是静态网页。展示出来的是以html一类的静态页面形式,但其实是用PHP一类的动态脚本来处理的。 2....
SQL------注入篇——伪静态注入
bylfsj的博客
09-18 1559
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 ...
记录一次伪静态注入
weixin_34411563的博客
05-23 854
记录一次伪静态注入 0x01:前言 偶然得到一个站,顺便练习一下手注,记录一下过程 0x02:辨别伪静态 网站url结构: 是不是类似index.php?pid=2,感觉有猫腻的话就顺手试一下。 改变url为 发现未屏蔽报错,且暴露了部分信息 可以得出数据库为mysql,且网站框架为tp,基本可以确定是伪静态了,这就意味着/index/pid/2.html等同于...
在图片注入伪静态注入)习题情况下得到的知识集合
zezai3010的博客
12-13 2629
一、伪静态注入 (一)伪静态定义: 为了实时的显示一些信息。或者还想运用动态脚本解决一些问题。不能用静态的方式来展示网站内容。伪静态只是改变了URL的表现形式,实际上还是动态页面。 例:http://lab1.xseclab.com/sqli6_f37a4a60a4a234cd309ce48ce45b9b00/ 和http://lab1.xseclab.com/sqli6_f37a4a60
伪静态注入中转突破伪静态
07-24
伪静态注入中转突破伪静态】是一种网络安全技术,用于在动态网站中模拟静态页面,以提高搜索引擎优化和用户体验。然而,这种技术也带来了一定的安全隐患,因为伪静态URL结构使得传统SQL注入攻击手段变得更为复杂。...
伪静态注入中转
10-06
在IT安全领域,"伪静态注入中转"是一种常见的攻击手段,主要针对Web应用程序。这里的“伪静态”指的是将动态网页通过技术手段转化为看似静态的URL形式,以提高搜索引擎优化(SEO)和用户体验。然而,这种转换过程也...
PHP针对伪静态注入总结【附asp与Python相关代码】
12-18
本文实例讲述了PHP针对伪静态注入。分享给大家供大家参考,具体如下: 一:中转注入法 1.通过http://www.xxx.com/news.php?id=1做了伪静态之后就成这样了 http://www.xxx.com/news.php/id/1.html 2.测试步骤: ...
PHP 伪静态技术原理以及突破原理实现介绍
10-27
这种方法可以用来测试网站的安全性,如果网站的伪静态规则设计不当,可能会导致注入漏洞。 【部分内容】中详细介绍了三种PHP实现伪静态的技术: 1. **利用Apache服务器的功能**: - 首先,需要确认Apache服务器...
科普文:Linux系统安全加固指南
为无为,事无事,味无味。
07-25 1059
本指南仅关注安全性和隐私性,而不关注性能,可用性或其他内容。列出的所有命令都将需要root特权。以“$”符号开头的单词表示一个变量,不同终端之间可能会有所不同。选择一个好的Linux发行版有很多因素。避免分发冻结程序包,因为它们在安全更新中通常很落后不使用与Systemd机制的发行版。Systemd包含许多不必要的攻击面;它尝试做的事情远远超出了必要,并且超出了初始化系统应做的事情。使用musl作为默认的C库。
人工智能:大语言模型提示注入攻击安全风险分析报告下载
cybtec的博客
07-25 1097
大语言模型提示注入攻击安全风险分析报告下载
大语言模型(LLM)安全测评基准V1.0 发布版下载
cybtec的博客
07-25 847
大语言模型(LLM)安全测评基准V1.0 发布版下载
mpu6050陀螺仪使用方法开发教程文档.docx
最新发布
07-30
mpu6050陀螺仪使用方法
伪静态sql注入sqlmap
09-20
伪静态SQL注入是指在伪静态页面中通过注入恶意的SQL语句来获取或修改数据库中的信息。与真实的静态页面不同,伪静态页面是通过服务器脚本将动态内容转化为静态的HTML页面。在注入防御方面,PDO(PHP Data Object)预处理是一种常用的技术。PDO是PHP的一个拓展模块,它通过预处理语句直接将不符合规范的变量处理掉,从而有效地防止了SQL注入攻击。 至于使用sqlmap进行伪静态SQL注入测试,您可以使用以下命令来查询所有数据库名称: ``` sqlmap.py -u "http://47.103.94.191:8001/front/getNewsByKeyword.php?key=1'and 1=1" --cookie="PHPSESSID=6nsukkbv4l6lpb6vm9ltgvmp83;ECS_ID=fe88eb728f88fc0220c58960aedda4c9eea2d307;ECS[visit_times]=1;ECS[history]=32;ECS[display]=grid" -dbs ``` 您可以使用以下命令来查询news库中的表名: ``` sqlmap.py -u "http://47.103.94.191:8001/front/getNewsByKeyword.php?key=1'and 1=1" --cookie="PHPSESSID=6nsukkbv4l6lpb6vm9ltgvmp83;ECS_ID=fe88eb728f88fc0220c58960aedda4c9eea2d307;ECS[visit_times]=1;ECS[history]=32;ECS[display]=grid" -D "news" --tables ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值