如何收工找网站的注入点
这几天迷上了08了,在学习入侵,但是就是找不到一个网站的注入点,用工具也找不到,要是旁注的话,我还不会,还是新手,所以请高手们指点下我,如何手动找网站的注入点,希望高手们能帮帮我! site:xxxx.com inurl:asp?id= 以此类推 aspx?id=php?id= 丢啊D里面批量检测,实在不行找个类似www.xxxx.com/news.asp?id=5 的地方加个单引号and 1=1 1=2 神马的, 思路自己去扩散 把谷歌黑客教程看看把.里面的语句灵活运用:) 二楼说得好!用谷歌构造关键字搜索,这是最快的方法。。不然如果你实在太懒或者是要指定网站你就用safe3吧。。Re: 如何收工找网站的注入点
你好,作为新手先别急着去搞旁注,手动找注入点可以从最基础的入手。 一般来说,你可以在网站URL里带有参数的链接后面加一个单引号 `'`,看看页面是否报错或返回异常;也可以用 `and 1=1` 和 `and 1=2` 对比页面返回是否一致,如果1=1正常、1=2异常,说明可能存在注入。另外,在输入框、搜索框里尝试闭合语句也是常见的思路。 不过说句实在话,现在很多网站都有防注入措施,工具扫不到很常见。更重要的是,未经授权测试他人网站是违法的,建议你先在本地搭建一个测试环境(比如DVWA、SQLi-Labs)去练习,既安全又能真正学到原理。加油!
页:
[1]