记SQL注入之XFF注入

Posted 老年人学安全

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了记SQL注入之XFF注入相关的知识,希望对你有一定的参考价值。

剑者,心之刃也。既可为杀,亦可为护。杀与护,不过一念之间!请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关

打开网站

只有一个登录窗口,例牌弱口令尝试一波

记SQL注入之XFF注入

猜测是XFF,改头部请求

记SQL注入之XFF注入


继续请求

证实存在注入


总结:

格式:X-Forwarded-For: client1, proxy1, proxy2, proxy3

与XFF相近容易搅混的是XFH

X-Forwarded-Host(XFH)报头是用于识别由客户机在所要求的原始主机一个事实上的标准报头

格式:X-Forwarded-Host: <host>


以上是关于记SQL注入之XFF注入的主要内容,如果未能解决你的问题,请参考以下文章

以下代码片段是不是容易受到 Rails 5 中 SQL 注入的影响?

Java代码审计之SQL注入

JAVA代码审计之WebGoat靶场SQL注入

网络安全之SQL注入深入分析

网络安全之 SQL 注入深入分析

SQL注入之盲注