本文介绍了SQL注入中POST方式的工作原理,通过sqlilabs的实例展示了如何利用POST注入进行攻击。讨论了GET与POST请求的区别,如数据大小限制、编码处理和可见性,并给出了利用Hackbar进行POST请求的示例,以及如何通过抓包工具进一步分析和获取敏感信息。
小迪笔记V14
参数类型:
数字型、字符型、搜索型(%通配符)、Json: 键值对
请求方法:
GET,POST,Request,HTTP头,COOKIE
POST
POST注入通过输入框,例如用户登录,网站留言板块,这些都是通过POST方式发送到服务器。
GET与POST :
GET请求传输的数据比较小,而POST一般不做限制,可以文件上传。
GET请求会经过url编码,而POST不会。
POST不可见,需要抓包。
打开sqlilabs less11
在输入框中尝试填入闭合:‘ “ )
输入’报错
查看sql拼接语句
@$sql="SELECT username, password FROM users WHERE username='$uname' and password='$passwd' LIMIT 0,1";
构造闭合语句
用户名输入框:‘ or 1=1 #
or 条件有真为真,
最低0.47元/天 解锁文章
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
