邮箱:service@hongdaqianqiu.com
某年某月某日,遇到一服务器,一网站,一注入点,一webknight,然后有了下面的内容。
尝试注入,测试发现过滤了 select 和 from 关键字,直接关键字过滤,此方法误报率高啊。。。
首先测试百分号绕过(se%lect),发现测试失败
想用那个GPC数据包格式参数污染的方式进行绕过,发现是关键字过滤,此方法失效。。。
尝试编码方式绕过,发现使用unicode方式可以完美bypass。比如select将其中一个字符进行unicode编码下:%u0073elect
本文转自暗影博客由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理。
Copyright © hongdaChiaki. All Rights Reserved. 鸿大千秋 版权所有
联系方式:
地址: 深圳市南山区招商街道沿山社区沿山路43号创业壹号大楼A栋107室
邮箱:service@hongdaqianqiu.com
备案号:粤ICP备15078875号
