2019年12月13日

摘要： 一、数字型注入 1.先输入一下看看 2.直接抓包，在编号后面加真命题 成功注入爆数据库 二、字符型注入 1.加单引号报错，说明存在注入 2.加上真命题爆出all 三、搜索型注入 1.加单引号报错，直接加真命题 lucy' or 1=1 # 四、xx型注入 1.先试了试a'，发现没有反应，后来在提示里 阅读全文

摘要： 一、get型csrf 1.首先登陆一下，lucy：123456 发现能够登陆 2.我们尝试修改一下个人信息并提交，同时利用BurpSuite抓包查看修改个人信息的请求内容，我们改一下地址 从提交的请求来看，后台没做CSRF token，同时也是通过GET请求来提交修改信息，我们拿到这个，修改一下，然 阅读全文