2021年1月2日
利用HPP参数污染攻破Sqlilabs第29关:Protection with WAF
摘要: 很多人玩到29关发现根本没有WAF,其实是有的,在第29关的目录下可以找到一个login.php文件,这才是这关的真正页面。 这关不看源码很难攻破,所以先来分析源码,查看源码会发现里面有两个奇怪的函数,whitelist函数判断id参数的值是不是纯数字,如果不是则导向失败黑入页面,而javaimpl 阅读全文
posted @ 2021-01-02 14:12 Dubh3 阅读(206) 评论(0) 推荐(0) 编辑