如果登录页面可以用 ' or 1=1#登录，是否说明有注入点？

wb1017 2019-04-25 05:00:43

如果登录页面可以用 ' or 1=1#登录，是否说明有注入点？页面有两个登录框 username password，我sqlmap用--data参数指定post参数，依然显示injectable。是不是使用的姿势不对

...全文

295 3 打赏收藏转发到动态举报

写回复

3 条回复

切换为时间正序

请发表友善的回复…

发表回复

卖水果的net 2019-05-03

打赏
举报

回复

十有八九是存在的。

yolyry 2019-05-02

打赏
举报

回复

存在注入的问题，编程中SQL如果使用select * from tb where name='XXX' and pwd='XXX'，通过存在行数来判断用户密码正确的话，必然存在万能密码' or '1'='1 注入的问题因为‘1’=‘1’的恒成立，所以，验证等同无用

二月十六 2019-04-25

打赏
举报

回复

是存在注入的问题

第7章 Web应用安全SQL手工注入目标要求Objectives了解SQL手工注入的基本方法；掌握在DVWA平台上进行SQL手工注入的方法；SQL手工注入一、SQL手工注入知识点任务通过SQL手工注入的方法获取admin的密码1、检查是否存在注入点2、猜解SQL查询语句的字段数3、获取数据库名称4、获取数据表名5、获取字段名6、获取字段数据SQL手工注入二、SQL手工注入示例1、进入DVWA平台，选择DVWA Security，将安全级别设置为Low。2、选择SQL Injection，进入如下页面。SQL手工注入二、SQL手工注入示例3、尝试输入单引号’，得到报错，说明页面存在注入点，同时很有可能是字符型注入4、输入 1 ‘ or 1 = 1 #，查询成功。SQL手工注入二、SQL手工注入示例5、猜解SQL查询语句中的字段数。1'or 1=1 order by 1 #1'or 1=1 order by 2 #1'or 1=1 order by 3 #当输入1‘or 1=1 order by 3 #时，系统会报错，提示“ Unknown column ’3‘ in ’order cla

先用or 1=1和or 1=2来测试是否存在注入点，我们先来看正常页面的面貌。我们现在用or 1=1测试是否存在注入漏洞。返回的是另外一个页面，我们再来测试or 1=2。返回的是正常的页面，说明猜测正确的时候是错误，猜测错误的时候是正常，这就是真正的"假是真时真是假"，比lake2大哥哥的IP欺骗更经典哦，呵呵。我们来构造测试语句： vpro.asp?id=1 or exists(...

如果一个站过滤了and和”’”的话，改怎么注入啊？当时我随口说了句”or注入”，后来又一次看贴的时候，看到他问我该怎么利用呢？我就写了几个简单的语句给他，叫他自己变换，他很感激我，还说网上没有这种方法。我到网上查了查，还真没有or注入专题呢（or 1=1除外），呵呵，所以，一年后的今天，就有了这篇文章。我们用雷霆购物系统做or注入演示。我们先用or 1=1和or 1=2来测试...

文章目录一些简单的判断注入点的方法：一些简单的判断注入点的方法： 1.单引号判断 http://www.xxx.com/xxx.asp?id=10’ 如果出现错误提示，则该网站可能就存在注入漏洞。 2.and判断 http://www.xxx.com/xxx.asp?id=10’and 1=1这个条件永远都是真的，所以当然返回是正常页 http://www.xxx.com/xxx.asp?id=10’and 1=2如果报错那说明存在注入漏洞，还要看报的什么错，不可能报任何错都有注入漏洞的。 3.or判断(

SQL：结构化查询语言 SQL注入所谓SQL注入式攻击，就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串，欺骗服务器执行恶意的SQL命令。实验代码： 1’and’ 1’=‘2 1’ or ‘1’ =‘1 1’ or ‘1234’=‘1234 1’ or 1=1 order by 1 # 1’ or 1=1 order by 2 # 1’ union select 1,2# ...

27,579

社区成员

68,558

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章