记录一次公益SRC常见的cookie注入漏洞
💡
原文中文,约1800字,阅读约需5分钟。
📝
内容提要
本文介绍了通过谷歌语法进行信息收集和SQL注入的步骤,包括查找带ID参数的网站、后台登录框、上传漏洞和敏感文件。重点讲解了cookie注入的原理及其在ASP和低版本PHP中的应用,使用Access数据库进行查询和爆破表名,最后总结了渗透测试的流程。
🎯
关键要点
- 通过谷歌语法查找带有ID参数的网站以发现SQL注入漏洞。
- 使用谷歌语法查找网站后台以寻找弱口令和暴力破解的机会。
- 查看上传漏洞和敏感文件以进行信息收集。
- cookie注入的原理是通过修改cookie值来进行SQL注入。
- ASP和低版本PHP网站中常见cookie注入,使用Access数据库进行查询。
- Access数据库的查询方式与MySQL不同,需严格遵循语法。
- 使用burp工具进行cookie修改和表名爆破。
- 通过谷歌语法找到注入点并判断注入是否存在。
- 利用cookie绕过注入,爆破表名并查找字段数。
- 总结渗透测试流程,包括找到注入点、判断注入、绕过注入、爆破表名和查找字段。
➡️
