Tosec Security Team Blog
最近互联网发布过一篇报告,是关于黑客针对web攻击而说明的,
具体内容大家可以我们的焦点新闻
在注入工具中使用and 1=2之类的检测是否存在注入方式,但是如果检测没有存在的时候就真的无计可施了吗?
显然我们受限于工具,而大多数人就会放弃了这个目标
其实我们可以使用其他的命令进行检测,例如获取数据库名and db_name>0,如果存在注入那么就会爆出数据库名,还有更多的方式可以让我们利用,有例如对+和/**/的一些利用,更有甚者我们可以使用注入中转器以及二次编码,那么这些不存在注入的说法将会不攻自破
因为之前我们针对一个目标进行检测,并没有发现问题,一直到今天我们获取对方数据库名、绝对路径、字段名等信息,对于下一步计划有了一定的基础,这些都是工具无法做到的,因为工具不会存在人类的思维,即便是程序员赋予了它一定的思维模式 |
