0x2A.HTTP頭注入漏洞測試(X-Forwarded-for)

該題可以進行手注或者使用sqlmap; 首先進行手注,抓包後添加X-Forwarded-for:*'測試發現並沒有報錯,而且這樣保存下來在sqlmap中檢測也檢測不到SQL注入; 修改爲* or 1=1會報錯,但是後續測試也會出問題,只有不添加ip地址或者*才能正常進行sql注入; 通過or 1=1檢測是否能進行sql注入; 查詢顯示位,結果爲4的時候顯示正常; 通過聯合查詢查詢當前版本以及數據庫
相關文章
相關標籤/搜索