本文为阅读 《黑客攻防技术宝典:Web实战篇(第2版)》 的笔记
黑名单过滤
根据已知的字符串确认数据,排除在黑名单之上的数据。
大小写切换攻击
SELECT
可以尝试 SeleCt
数字更改
or 1=1--
可以尝试 or 2=2--
同类函数更换
alert('xss')
可以尝试 prompt('xss')
sql 注释
select/*foo*/username,password/*foo*/from/*foo*/users
非标准字符
<img%09onerror=alert(1) src=a>
空字节攻击
在表达式之前插入空字节
%00<script>alert(1)</script>
删除表达式
通过删除特定表达式,过滤内容
删除 <script>
可以尝试 <scr<script>ipt>
递归删除
- 删除
../
- 删除
..\
可以尝试 ....\/
URI 编码
删除省略号
可以尝试 %2527
或 %%2727
HTML 编码
<iframe src=javascript:alert(1) >
Reprint please keep the original link: https://zodream.cn/blog/id/124.html