WEB攻防(一)基础

Fork Me On Github
zodream 编程技术 2020年05月

本文为阅读 《黑客攻防技术宝典:Web实战篇(第2版)》 的笔记

黑名单过滤

根据已知的字符串确认数据,排除在黑名单之上的数据。

大小写切换攻击

SELECT 可以尝试 SeleCt

数字更改

or 1=1-- 可以尝试 or 2=2--

同类函数更换

alert('xss') 可以尝试 prompt('xss')

sql 注释

sql
 
select/*foo*/username,password/*foo*/from/*foo*/users
1

非标准字符

html
 
<img%09onerror=alert(1) src=a>
1

空字节攻击

在表达式之前插入空字节

html
 
%00<script>alert(1)</script>
1

删除表达式

通过删除特定表达式,过滤内容

删除 <script> 可以尝试 <scr<script>ipt>

递归删除

  1. 删除 ../
  2. 删除 ..\

可以尝试 ....\/

URI 编码

删除省略号

可以尝试 %2527

%%2727

HTML 编码

html
  
<iframe src=javascript:alert(1) >
12
点击查看全文
0 145 0