学习笔记 HTTP参数污染注入

Posted 烤红薯咖啡馆

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了学习笔记 HTTP参数污染注入相关的知识,希望对你有一定的参考价值。

HTTP参数污染注入源于网站对于提交的相同的参数的不同处理方式导致。

例如:

www.XX.com/a?key=ab&key=3

如果服务端返回输入key的值,可能会有

一: ab

二:3

三:ad3

这三种不同的方式。

具体服务端处理方式如下:

Web服务器

参数获取函数

获取到的参数

php/Apache

$_GET(“par”)

Last

JSP/Tomcat

Request.getParameter(“par”)

First

Perl(CGI)/Apache

Param(“par”)

First

Python/Apache

Getvalue(“par”)

All(List)

ASP/IIS

Request.QueryString(“par”)

All(comma-delimited string)

 

假设输入www.xx.com/a?key=select&key=1,2,3,4 from table

服务端有可能会将key处理为select 1,2,3,4 from table,从而导致SQL注入。

 

以上是关于学习笔记 HTTP参数污染注入的主要内容,如果未能解决你的问题,请参考以下文章

安全牛学习笔记​SQLMAP- 自动注入

Spring学习笔记--构造器注入

SQL注入学习笔记---概述

AngularJs 学习笔记依赖注入

学习笔记 UpdateXml() MYSQL显错注入

安全牛学习笔记SQLMAP自动注入-INHECTIONDETECTIONTECHNIQUES