利用Cookie注入 绕过WAF
2023-04-18 14:53:47 时间
cookie注入的原理在于更改本地的cookie,从而利用cookie来提交非法语句。
document.cookie:
表示当前浏览器中的cookie变量
alert():
表示弹出一个对话框,在该对话框中单击“确定”按钮确认信息。
escape():
该函数用于对字符串进行编码。
1.首先 对这个测试网站进行SQL注入测试
然而 我们发现此时 网站有WAF 对我们提交的参数进行了过滤
此时我们尝试使用Cookie注入 看看能不能绕过WAF进行注入
此时已经把ID注入进了Cookie里 然后我们不带参数ID=171 进行访问
我们发现 是可以正常访问的 那么就说明存在Cookie注入
然后我们进行SQL注入测试
我们发现 and 1=1
是可以正常访问的
那么and 1=2
呢?
and 1=2
报错 所以说明 此URL存在 SQL注入
接下来可以使用手工注入方式进行SQL注入
这里就不演示了 直接看结果
版权属于:Xcnte' s Blog(除特别注明外) 本文链接:https://www.xcnte.com/archives/168/ 本站文章采用 知识共享署名4.0 国际许可协议 进行许可,请在转载时注明出处及本声明!
相关文章
- 转型项目经理,鬼知道我经历了什么
- 研究表明:员工更喜欢 Mac 和 iOS 而非 Windows 或 Android
- 谷歌自研Fuchsia OS将兼容安卓:亦可在x86体系运行
- 为什么程序员们愿意在GitHub上开源自己的成果?
- 所有手机都搭上了AI的车,可为什么你就不屑呢?
- 软件正在蚕食世界,而开发者的价值观成了较大的 Bug
- 30多年的编码经验浓缩成的10条实践
- 企业微信缘何不敌钉钉?
- Google发布其非Linux系操作系统Fuchsia说明书
- 为什么软件开发,人多,事少,还会工作量大?
- iOS从实际出发理解多线程
- 全国首批手机版“电子营业执照”试点:支付宝小程序可领用
- 以前搞化学,自学编程9个月后,我成了年薪6位数的软件工程师
- 360互联网技术训练营第九期——360容器技术解密与实践
- 手机圈AI乱象丛生 手机AI如何去伪存真?
- iPhone升级iOS 11.3:无法读取第三方电池健康状况
- 如何让你的代码好维护
- iOS开发3年只用5分钟搞定面试官
- 谷歌禁止非认证安卓设备运行自家APP 国产手机咋办?
- iOS不这样写简历,都找不到工作了