html表单对输入数据的几种限制的绕过

1.长度限制,例如:

<form method=”post” action=”Shop.aspx?prod=1”>
Product: iPhone 5 <br/>
Price: 449 <br/>
Quantity: <input type=”text” name=”quantity” maxlength=”1> <br/>
<input type=”hidden” name=”price” value=”449”>
<input type=”submit” value=”Buy”>
</form>


2. 采用javascript验证输入数据的合法性

<form method=”post” action=”Shop.aspx?prod=2” οnsubmit=”return validateForm(this)”>
Product: Samsung Multiverse <br/>
Price: 399 <br/>

Quantity: <input type=”text” name=”quantity”> (Maximum quantity is 50) 
<br/>
<input type=”submit” value=”Buy”>
</form>
<script>function validateForm(theForm)
{
    var isInteger = /^\d+$/;
    var valid = isInteger.test(quantity) &&
        quantity > 0 && quantity <= 50;
    if (!valid)
        alert(’Please enter a valid quantity’);
    return valid;
}
</script>


3. 禁用的元素

<form method=”post” action=”Shop.aspx?prod=5”>
Product: Blackberry Rude <br/>
Price: <input type=”text” disabled=”true” name=”price” value=”299”> 

<br/>

Quantity: <input type=”text” name=”quantity”> (Maximum quantity is 50) 
<br/>
<input type=”submit” value=”Buy”>
</form>


可以通过burpsuit绕过以上几种限制,修改html表单的内容进行提交。

在进行渗透测试的时候,首先找到页面都哪里存在上面的情况,然后通过使用burpsuite修改这些值,比如说如果最大长度限制是10,那么输入一个长度为11的值,发给服务器看是否能够正常响应,如果正常响应了,说明服务器没有对输入进行验证,说明这里存在漏洞。

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值