在这篇博客中我尝试着去学习和简单的介绍盲注。
那在开始之前,当然要简单的介绍一下什么是盲注。
之前我们有了解过,根据我们构造的payload的不同,后台数据库会返回错误提示,这给构造闭合语句的人提供了便利,但事实上,编写程序的安全人员并不会不知道这一点。为了解决这一安全问题,除了在后台设置相应的语句判断机制外,不提供对应的错误返回提示,或无论在什么情况下都提供相同的错误返回提示确实是一种降低渗透风险的方法。
而盲注就是在后台不提供返回提示的情况下构造payload的方法,其实它本身也还是一种注入方式。
盲注又分为based boolean和based time两种类型。
based boolean即基于真假的盲注。那什么是基于真假的盲注呢
登陆到渗透练习平台。
首先打开登陆页面
先输入单引号,看一下会有怎样的错误提示
仅仅提示用户名错误
sql盲注
最新推荐文章于 2024-06-19 13:35:01 发布