摘要:
#原理 前端代码注入,拼接恶意的html,真正执行恶意代码的是js语句 常见业务场景: 重灾区:评论区、留言区、个人信息、订单信息等 针对型:站内信、网页即时通讯、私信、意见反馈 存在风险:搜索框、当前目录、图片属性等 危害:盗取cookie,获取内网ip,获取浏览器保存的明文密码,截取网页屏幕…… 阅读全文
摘要:
#原理 注入攻击的本质是把用户输入的数据当做代码执行 #判断注入点 and 1=1页面正常,and 1=2 页面不正常【此法可能会被拦截】 为什么用and 1=1正常 and 1=2报错来判断是否存在SQL注入? 因为如果存在SQL注入,那么and就是和的意思,1=1是一个恒等式,然后因为原本能够查 阅读全文