当前位置: 首页 > news >正文

网络安全学习(记录学习过程)

news 2025/4/23 16:11:08

第28天(小迪)以下内容来自大部分来自网络,以及自己思考(错误请大佬多多指导)

转载第28天:WEB攻防-通用漏洞&SQL注入&HTTP头XFF&COOKIE&POST请求 - 解放者-cracer - 博客园 (cnblogs.com)

以下来自28天web攻防--通用漏洞(PT_silver)csdn博客大佬

$_GET:接收get请求,传输少量数据,URL是有长度限制的;
$_POST:接收post请求;
$_COOKIE:接收cookie,用于身份验证;
$_REQUEST:收集通过 GET 、POST和COOKIE 方法发送的表单数据;
$_SERVER:接收数据包中的一些内容,如浏览器信息、当前访问url地址等;

 以下内容来自第28天:WEB攻防-通用漏洞&SQL注入&HTTP头XFF&COOKIE&POST请求 - 解放者-cracer - 博客园 (cnblogs.com)

#知识点:
1、数据请求方式-GET&POST&COOKIE等
2、常见功能点请求方式-用户登录&IP记录等
3、黑盒白盒注入测试要点-SQLMAP注入参数#补充点:
黑盒测试:功能点分析
白盒测试:功能点分析&关键代码追踪1.数据库注入    - access mysql mssql oracle mongodb postgresql等
2.数据类型注入 - 数字型 字符型 搜索型 加密型(base64 json)等
3.提交方式注入 - get post cookie http头等 
4.查询方式注入 - 查询 增加 删除 更新 堆叠等
5.复杂注入利用 - 二次注入 dnslog注入 绕过bypass等数据库类型决定攻击的手法 -payload不同
数据类型注入-payload考虑闭合,数据格式
提交方式-数据请求不同,注入的时候需要按照指定方式去测试,URL没有参数并不代表没有注入,有些数据会在数据包才能体现。http数据包任何一个地方只要被接受,都有可能产生漏洞脚本不同的接受方式:
#部分语言接受代码块
<?php
header("Content-Type: text/html; charset=utf-8");$get=$_GET['g'];
$post=$_POST['p'];
$cookie=$_COOKIE['c'];
$request=$_REQUEST['r'];
$host=$_SERVER['HTTP_HOST'];//当前访问URL地址
$user_agent=$_SERVER["HTTP_USER_AGENT"];//浏览器信息
$ip=$_SERVER["HTTP_X_FORWARDED_FOR"];//8.8.8.8echo $get."<hr>";
echo $post."<hr>";
echo $cookie."<hr>";
echo $request."<hr>";
echo $host."<hr>";
echo $user_agent."<hr>";
echo $ip;
?>Java Spring  不同框架,不同写法
method=RequestMethod.GET
method=RequestMethod.POST
request.getParameter("参数名");
可以直接获取get请求的参数key对应的value                               
也可以从请求体中获取参数的key对应的valuePython flask 不同框架,不同写法
requests.get
requests.post
request.args.get(key)
request.form.get(key)
request.values.get(key)1.后台要记录操作访问IP
IP要进行代码的获取,获取之后,IP会不会记录到数据库中呢?
IP会写到数据库,如果IP能够自定义数据,是不是就能尝试SQL注入。2.网站要根据访问设备给与显示页面(判断浏览器ua头信息)
接收访问UA信息,进行判断。
将各种UA进行数据库整理后,用户访问后对比数据库找那个的UA值来进行判读3.网站要进行文件上传,用户登录
由于上传的文件可大可小,如果GET请求不满足,就用POST请求
用户登录,接收账号密码后进行数据库查询后对比(POST)所用到的功能需要:
$host=$_SERVER['HTTP_HOST'];//当前访问URL地址
$user_agent=$_SERVER["HTTP_USER_AGENT"];//浏览器信息
$ip=$_SERVER["HTTP_X_FORWARDED_FOR"];//8.8.8.8用--data就是用post方式提交,后面写上要注入的点,不写,两个都注入(不适合用这个,因为这个ua头和其他信息不一样,网站可能访问不了)
2.--data "name=xiaodi&password=xiaodi"

按照实验操作,将一串代码放到php文件,然后访问,至于ip没有获取到我也不晓得

在传参get和post变量

request请求就是什么提交方式都会接受,get方式和post方式都会接受,写到cookie值也能接受,但是我放cookie就不行


http://www.mrgr.cn/news/44461.html

相关文章:

  • 点餐小程序实战教程16餐厅管理
  • 低温无压烧结银在射频通讯上的5大应用
  • 【JavaEE】【多线程】进程与线程的概念
  • [Linux] 进程创建、退出和等待
  • 77寸OLED透明触摸屏有哪些应用场景
  • IL2CPP和Mono的区别
  • LeetCode 123. 买卖股票的最佳时机 III(经典必会)
  • LeetCode题练习与总结:给表达式添加运算符--282
  • 台湾高雄三维倾斜摄影模型3DTiles样例数据介绍
  • 自己写计算字符串长度的函数--3种写法(C语言)
  • 实战OpenCV之模板匹配
  • 性能测试知识点
  • 【大语言模型-论文精读】谷歌-BERT:用于语言理解的预训练深度双向Transformers
  • FredNormer: 非平稳时间序列预测的频域正则化方法
  • Java之String类
  • 论文阅读笔记-Are Pre-trained Convolutions Better than Pre-trained Transformers?
  • node版本管理nvm详细教程
  • Qt-QTabWidget容器类控件(40)
  • 如何在 Redis 中管理副本和客户端??
  • Stable Diffusion绘画 | IP角色多视图生成技巧