社区
网络编程
帖子详情
如何检测一个网页是否可以注入?
zycj_
2012-01-29 12:55:30
脑袋快想大了 不知道怎么做。。
只要做类似啊D 中的注入块..
简单而言就是 检测一个网址是否存在注入点 ..
感觉应该是 先提交数据 根据 post 或者 GET and 1=1 and 1=2
然后获取 返回页面的大小 如果两次页面不同 则判断为有注入..
可是这需要神马函数? 找不到...
...全文
635
18
打赏
收藏
如何检测一个网页是否可以注入?
脑袋快想大了 不知道怎么做。。 只要做类似啊D 中的注入块.. 简单而言就是 检测一个网址是否存在注入点 .. 感觉应该是 先提交数据 根据 post 或者 GET and 1=1 and 1=2 然后获取 返回页面的大小 如果两次页面不同 则判断为有注入.. 可是这需要神马函数? 找不到...
复制链接
扫一扫
分享
转发到动态
举报
写回复
配置赞助广告
用AI写文章
18 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
zycj_
2012-02-10
打赏
举报
回复
结贴了 ...网上没资料 真悲剧 VC做这个貌似有点吃力啊
zycj_
2012-02-08
打赏
举报
回复
[Quote=引用 15 楼 new_my_program 的回复:]
反下阿D。。
[/Quote]
不懂汇编怎么反?
yaoyaochecknow
2012-02-07
打赏
举报
回复
反下阿D。。
zycj_
2012-02-01
打赏
举报
回复
[Quote=引用 9 楼 ok1234567 的回复:]
分析动态网页的参数配置
恶意的参数构造在不同的平台上表现不一样
对于数据库注入,可以用带“'”的参数去测试,有时也用特别长的参数去测试
一个一个参数地试:)
通常,你需要自制一个表单网页,突破页面中的简单控制
你能够注入,主要是开发者对于参数有效性校验缺失所致
[/Quote]
没看懂你说什么 真的...
zycj_
2012-02-01
打赏
举报
回复
[Quote=引用 10 楼 jha334201553 的回复:]
直接OD加载啊D看呗,啥情况就很清楚了
[/Quote]
没加壳吗?
zycj_
2012-02-01
打赏
举报
回复
。。还有什么想法么
ok1234567
2012-01-31
打赏
举报
回复
分析动态网页的参数配置
恶意的参数构造在不同的平台上表现不一样
对于数据库注入,可以用带“'”的参数去测试,有时也用特别长的参数去测试
一个一个参数地试:)
通常,你需要自制一个表单网页,突破页面中的简单控制
你能够注入,主要是开发者对于参数有效性校验缺失所致
「已注销」
2012-01-31
打赏
举报
回复
直接OD加载啊D看呗,啥情况就很清楚了
oyljerry
2012-01-30
打赏
举报
回复
主要是Web 的Automation,然后就是根据你的要求提交数据,以及根据得到的结果来分析
不说害怕
2012-01-30
打赏
举报
回复
首先要自己分析网页中是否有Form,对几个参数进行各种组合分别post,对任何一种情况要进行多次的post。正如你说,检查网页大小是否不同,或者是是否含有某些错误码,等等。有很多情况。你下个漏洞检查的软件研究一下咯。
zycj_
2012-01-29
打赏
举报
回复
[Quote=引用 1 楼 visualeleven 的回复:]
如果是模拟提交数据,可以使用WININET的CInternetSession类相关的东西
[/Quote]
...100分就一个人回答 悲剧 找了N久也没找到相关方面的书 先感谢了
zycj_
2012-01-29
打赏
举报
回复
[Quote=引用 5 楼 rrrfff 的回复:]
首先根据页面大小不同来判断是不行滴
其次现在and和or此类伎俩很容易被屏蔽, 人工注入尚且困难
C++中貌似没法单个函数完成网页的访问(自己封装的除外),所以你搜索下 C++获取网页 便有答案.
AD: RLIB System::Net::HttpRequest可以轻松完成访问工作
哈
[/Quote]
只要能最简单的检测就行啦 非常感谢 我查查
Eleven
2012-01-29
打赏
举报
回复
如果是模拟提交数据,可以使用WININET的CInternetSession类相关的东西
RLib
2012-01-29
打赏
举报
回复
首先根据页面大小不同来判断是不行滴
其次现在and和or此类伎俩很容易被屏蔽, 人工注入尚且困难
C++中貌似没法单个函数完成网页的访问(自己封装的除外),所以你搜索下 C++获取网页 便有答案.
AD: RLIB System::Net::HttpRequest可以轻松完成访问工作
哈
zycj_
2012-01-29
打赏
举报
回复
来个回复吧!!!!!!!!!!!
zycj_
2012-01-29
打赏
举报
回复
怎么样也是100分啊 有别的思路想法 也提出来来啊 。。
CheckInjection:
检测
网页
内容
注入
、运营商
注入
广告,内容
注入
上报
CheckInjection 我们的
网页
会莫名其妙地多出来广告?十有八九是网络运营商(移动、联通、电信之类的喽)搞得鬼!所以我们就需要摸清楚运营商到底是怎么搞出来广告的,这样才能做下一步的据理力争或者是干扰他们的代码。 实际上,用户通过网络请求我们服务器的
网页
,这个过程,如果我们没有用HTTPS的话,运营商很容易去修改网络传输中包的内容,达到在我们的
网页
注入
广告之类的第三方内容的目的。 CheckInjection就是用来做页面内容(广告)
注入
检测
上报的小程序。 程序特色 对业务兼容性好 可以兼容现有代码,而不必担心我们的业务代码被判定为第三方
注入
检测
手段完备 iframe监测、script标签插入监测、body内容插入监测等等,保证
注入
检测
的有效性 无额外依赖 原生JS实现,无需依赖第三方库 浏览器兼容性好 极力保证跨浏览器兼容问题,无论是移动端还是PC端,传统浏览器还是现代浏览器,都
啊D
注入
工具
自创的
注入
引擎,能
检测
更多存在
注入
的连接!使用多线程技术,
检测
速度快! 对"MSSQL显错模式"、"MSSQL不显错模式"、"Access"等数据库都有很好
注入
检测
能力,内集"跨库查询"、"
注入
点扫描"、"管理入口
检测
"、"目录查看"、"CMD命令"、"木马上传"、"注册表读取"、"旁注/上传"、"WebShell管理"于一身的综合
注入
工具包! 扫描管理入口等
网页
!可显示目录!
检测
一个
网页
的连接
是否
有
注入
问题,直观明了! 了解服务器的主机目录状态,爽! 利用 Xp_cmdshell 或 wscript.shell 进行命令输入 你可以批量读取你想要的注册表数据!
网络安全工程师演示:新手如何入门学习SqlMap数据库
注入
神器
一、课程简介: 1、Sqlmap 是
一个
开源渗透测试工具,它可以自动
检测
和利用 SQL
注入
漏洞并接管数据库服务器。 2、Sqlmap具有强大的
检测
引擎,同时有众多功能,包括数据库指纹识别、从数据库中获取数据、访问底层文件...
sql
注入
检测
工具Scrawlr
这个微软和 HP合作开发的工具,会在网站中爬行,对所有
网页
的查询字符串进行分析并发现其中的 SQL INJECTION 风险。Scrawlr 使用了部分 HP WebInspect 相同的技术,但只
检测
SQL INJECTION 风险。Scrawlr 从
一个
起始 URL 入口,爬遍整个网站,并对站点中所有
网页
进行分析以找到可能存在的漏洞。
啊D
注入
工具
啊D
注入
工具无限制版是一款测试网站SQL
注入
BUG的工具。本工具功能强大且操作简单,能自动扫描
网页
是否
包含SQL
注入
漏洞,可供站长
检测
自己网站的安全性,及时修复漏洞保证网站安全。
网络编程
18,356
社区成员
64,214
社区内容
发帖
与我相关
我的任务
网络编程
VC/MFC 网络编程
复制链接
扫一扫
分享
社区描述
VC/MFC 网络编程
c++
c语言
开发语言
技术论坛(原bbs)
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章