18,356
社区成员
发帖
与我相关
我的任务
分享如何检测一个网页是否可以注入?
脑袋快想大了 不知道怎么做。。
只要做类似啊D 中的注入块..
简单而言就是 检测一个网址是否存在注入点 ..
感觉应该是 先提交数据 根据 post 或者 GET and 1=1 and 1=2
然后获取 返回页面的大小 如果两次页面不同 则判断为有注入..
可是这需要神马函数? 找不到...
只要做类似啊D 中的注入块..
简单而言就是 检测一个网址是否存在注入点 ..
感觉应该是 先提交数据 根据 post 或者 GET and 1=1 and 1=2
然后获取 返回页面的大小 如果两次页面不同 则判断为有注入..
可是这需要神马函数? 找不到...
...全文
请发表友善的回复…
发表回复
zycj_ 2012-02-10
- 打赏
- 举报
结贴了 ...网上没资料 真悲剧 VC做这个貌似有点吃力啊
zycj_ 2012-02-08
- 打赏
- 举报
[Quote=引用 15 楼 new_my_program 的回复:]
反下阿D。。
[/Quote]
不懂汇编怎么反?
反下阿D。。
[/Quote]
不懂汇编怎么反?
yaoyaochecknow 2012-02-07
- 打赏
- 举报
反下阿D。。
zycj_ 2012-02-01
- 打赏
- 举报
[Quote=引用 9 楼 ok1234567 的回复:]
分析动态网页的参数配置
恶意的参数构造在不同的平台上表现不一样
对于数据库注入,可以用带“'”的参数去测试,有时也用特别长的参数去测试
一个一个参数地试:)
通常,你需要自制一个表单网页,突破页面中的简单控制
你能够注入,主要是开发者对于参数有效性校验缺失所致
[/Quote]
没看懂你说什么 真的...
分析动态网页的参数配置
恶意的参数构造在不同的平台上表现不一样
对于数据库注入,可以用带“'”的参数去测试,有时也用特别长的参数去测试
一个一个参数地试:)
通常,你需要自制一个表单网页,突破页面中的简单控制
你能够注入,主要是开发者对于参数有效性校验缺失所致
[/Quote]
没看懂你说什么 真的...
zycj_ 2012-02-01
- 打赏
- 举报
[Quote=引用 10 楼 jha334201553 的回复:]
直接OD加载啊D看呗,啥情况就很清楚了
[/Quote]
没加壳吗?
直接OD加载啊D看呗,啥情况就很清楚了
[/Quote]
没加壳吗?
zycj_ 2012-02-01
- 打赏
- 举报
。。还有什么想法么
ok1234567 2012-01-31
- 打赏
- 举报
分析动态网页的参数配置
恶意的参数构造在不同的平台上表现不一样
对于数据库注入,可以用带“'”的参数去测试,有时也用特别长的参数去测试
一个一个参数地试:)
通常,你需要自制一个表单网页,突破页面中的简单控制
你能够注入,主要是开发者对于参数有效性校验缺失所致
恶意的参数构造在不同的平台上表现不一样
对于数据库注入,可以用带“'”的参数去测试,有时也用特别长的参数去测试
一个一个参数地试:)
通常,你需要自制一个表单网页,突破页面中的简单控制
你能够注入,主要是开发者对于参数有效性校验缺失所致
「已注销」 2012-01-31
- 打赏
- 举报
直接OD加载啊D看呗,啥情况就很清楚了
oyljerry 2012-01-30
- 打赏
- 举报
主要是Web 的Automation,然后就是根据你的要求提交数据,以及根据得到的结果来分析
不说害怕 2012-01-30
- 打赏
- 举报
首先要自己分析网页中是否有Form,对几个参数进行各种组合分别post,对任何一种情况要进行多次的post。正如你说,检查网页大小是否不同,或者是是否含有某些错误码,等等。有很多情况。你下个漏洞检查的软件研究一下咯。
zycj_ 2012-01-29
- 打赏
- 举报
[Quote=引用 1 楼 visualeleven 的回复:]
如果是模拟提交数据,可以使用WININET的CInternetSession类相关的东西
[/Quote]
...100分就一个人回答 悲剧 找了N久也没找到相关方面的书 先感谢了
如果是模拟提交数据,可以使用WININET的CInternetSession类相关的东西
[/Quote]
...100分就一个人回答 悲剧 找了N久也没找到相关方面的书 先感谢了
zycj_ 2012-01-29
- 打赏
- 举报
[Quote=引用 5 楼 rrrfff 的回复:]
首先根据页面大小不同来判断是不行滴
其次现在and和or此类伎俩很容易被屏蔽, 人工注入尚且困难
C++中貌似没法单个函数完成网页的访问(自己封装的除外),所以你搜索下 C++获取网页 便有答案.
AD: RLIB System::Net::HttpRequest可以轻松完成访问工作
哈
[/Quote]
只要能最简单的检测就行啦 非常感谢 我查查
首先根据页面大小不同来判断是不行滴
其次现在and和or此类伎俩很容易被屏蔽, 人工注入尚且困难
C++中貌似没法单个函数完成网页的访问(自己封装的除外),所以你搜索下 C++获取网页 便有答案.
AD: RLIB System::Net::HttpRequest可以轻松完成访问工作
哈
[/Quote]
只要能最简单的检测就行啦 非常感谢 我查查
Eleven 2012-01-29
- 打赏
- 举报
如果是模拟提交数据,可以使用WININET的CInternetSession类相关的东西
RLib 2012-01-29
- 打赏
- 举报
首先根据页面大小不同来判断是不行滴
其次现在and和or此类伎俩很容易被屏蔽, 人工注入尚且困难
C++中貌似没法单个函数完成网页的访问(自己封装的除外),所以你搜索下 C++获取网页 便有答案.
AD: RLIB System::Net::HttpRequest可以轻松完成访问工作
哈
其次现在and和or此类伎俩很容易被屏蔽, 人工注入尚且困难
C++中貌似没法单个函数完成网页的访问(自己封装的除外),所以你搜索下 C++获取网页 便有答案.
AD: RLIB System::Net::HttpRequest可以轻松完成访问工作
哈
zycj_ 2012-01-29
- 打赏
- 举报
来个回复吧!!!!!!!!!!!
zycj_ 2012-01-29
- 打赏
- 举报
怎么样也是100分啊 有别的思路想法 也提出来来啊 。。
