二次编码注入

Posted 安全界 的彭于晏

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了二次编码注入相关的知识,希望对你有一定的参考价值。

宽字节注入和二次编码注入:
是在面对php代码或配置,对输入‘(单引号)进行转义的时候
在处理用户输入数据时存在问题,可以绕过转义
二次注入原理,主要分为两部
第一步:插入恶意数据
第一次进行数据库插入数据的时候,
仅仅对其中的特殊字符进行了转义,
在写入数据库的时候还是保留了原来
的数据,但是数据本身包含恶意内容。
第二步:引用恶意数据
在将数据存入到数据库中之后,开发者
就认为数据是可信的。在下一次需要进
查询的时候,直接从数据库中取出恶意
数据,没有进行进一步检验和处理,这样
就会造成SQL的二次注入
二次注入防御:
对外部提交的数据,需要更加谨慎点对待.
程序内部的数据调用,也要严格的进行检查
一旦不小心,测试者就能将特定的sql语句带入
查询当中

以上是关于二次编码注入的主要内容,如果未能解决你的问题,请参考以下文章

SQL注入 | 二次注入

WEB漏洞攻防 - SQL注入 - 二次注入

Web安全原理剖析——二次注入攻击

SQL注入之盲注,二次注入,dnslog注入

sql注入简单实现二次注入

SQL注入绕过——二次注入