路由器WEB安全实战-漏洞注入

路由器WEB安全实战-漏洞注入有11条评论

2019年4月8日 下午3:49分类:路由器 阅读: 7,622 次

一、常用的WEB服务端注入 一般来说,WEB注入的对象是网站,常用的是SQL注入和代码注入。其本质是把用户输入的数据当做代码来执行,主要原因是设计时忽略了数据检查或违背了数据与代码分离原则,其发生的两个条件: 1、用户可以控制数据输入; 2、用户输入的数据可以拼接代码,把数据当做代码执行了。 【SQL注入】 $username = $_POST['username']; $sql = "select * from usertable where username="."'".$username."'" 正常情况下用户输入 ‘Tom’ ,sql为 "select * from usertable where username='Tom'"; 但如果用户输入 “Tom' ; drop table usertable--”,sql如下: "select * from usertable wher ...


【阅读全文】