9. 网易web安全渗透， sql漏洞之二次注入

发表于2020-08-10|更新于2021-12-25|web安全sql注入

|字数总计:241|阅读时长:1分钟

笔记

sql漏洞之二次注入原理

第一步:插入恶意数据
第一次进行数据库插入数据的时候,
仅仅对其中的特殊字符进行了转义,在写入
数据库的时候还是保留了原来的数据,但是
数据本身包含恶意内容。
第二步:引用恶意数据
在将数据存入到了数据库中之后,开发
者就认为数据是可信的。在下一次需要进行
查询的时候,直接从数据库中取出了恶意数
据,没有进行进一步的检验和处理,这样就
会造成SQL的二次注入

实战

第24关
点击注册
在这里插入图片描述
输入的是
用户是admin'#
密码是123456

上面提示注册成功

查看一下数据库
可以看见已经写上面

登录上

我输入到是
当前密码是123456
新密码是123456789

发现admin这个用户被修改了

文章作者: W啥都学

文章链接: https://zhao-sai-sai.github.io.git/2020/08/10/9.%E7%BD%91%E6%98%93web%E5%AE%89%E5%85%A8%E6%B8%97%E9%80%8Fsql%E6%BC%8F%E6%B4%9E%E4%B9%8B%E4%BA%8C%E6%AC%A1%E6%B3%A8%E5%85%A5/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 ZSSのW啥都学！

打赏

微信
支付宝

相关推荐

1. 文件上发漏洞之php编写上传文件

1. 网易web安全渗透手动sql注入

1.XXE漏洞原理和实战之xml的学习1

1.web信息收集之google搜索引擎

1.手动挖掘漏洞身份认证

2. 网易web安全渗透 union联合查询注入

评论

本地搜索