Fork Me On Github

本文为阅读 《黑客攻防技术宝典:Web实战篇(第2版)》 的笔记

黑名单过滤

根据已知的字符串确认数据,排除在黑名单之上的数据。

大小写切换攻击

SELECT 可以尝试 SeleCt

数字更改

or 1=1-- 可以尝试 or 2=2--

同类函数更换

alert('xss') 可以尝试 prompt('xss')

sql 注释

select/*foo*/username,password/*foo*/from/*foo*/users

非标准字符

<img%09onerror=alert(1) src=a>

空字节攻击

在表达式之前插入空字节

%00<script>alert(1)</script>

删除表达式

通过删除特定表达式,过滤内容

删除 <script> 可以尝试 <scr<script>ipt>

递归删除

  1. 删除 ../
  2. 删除 ..\

可以尝试 ....\/

URI 编码

删除省略号

可以尝试 %2527

%%2727

HTML 编码

<iframe src=javascript:alert(1) >
点击查看全文
0 7 0