当前位置:网站首页>SQL注入(7)

SQL注入(7)

2022-08-02 03:25:00 CHIAJ176

SQL注入绕过手段

大小写绕过

如果程序中设置了过滤关键字,但是过滤过程中并没有对关键字组成进行深入分析过滤,导致只是对整体进行过滤。例如:and 过滤。当然这种过滤只是发现关键字出现,并不会对关键字处理。
通过修改关键字内字母大小写来绕过过滤措施。例如:AnD 1=1
例如:在进行探测当前表的字段数时,使用order by 数字进行探测。如果过滤了order ,可以使用OrdER来进行绕过。

双写绕过

如果在程序中设置出现关键字之后替换为空,那么SQL注入攻击也不会发生。对于这样的过滤策略可以使用双写绕过。因为在过滤过程中只进行了以此替换。就是将关键字替换为对应的空。
例如:过滤了union 只要发现union无论时大小写都会被替换为空。
UnunionIon 结合之前大小写绕过。

编码绕过

可以利用网络中的URL在线编码,绕过SQL注入的过滤机制。

内联注释绕过

在Mysql中内联注释中的内容可以被当作SQL语句执行
在这里插入图片描述

原网站

版权声明
本文为[CHIAJ176]所创,转载请带上原文链接,感谢
https://blog.csdn.net/qq_56289291/article/details/119177325

边栏推荐

猜你喜欢

随机推荐