一次艰难的渗透纪实

2012.07.20, 应用安全 ,2条评论,10206人打酱油
作者:    kyo327 EMail:   humour327@163.com QQ:      10952989 日期:    2012-01-12 [ 目录 ] 0×00 前言 ...

一个搜索型注入

2012.07.19, 应用安全 ,抢沙发,17247人打酱油
目标站点:http://www.tan***.net 该网站倒是做了防注入的,一般的页面上不存在注入点,可惜防注入还是不够严密,某个页面的一个搜索框没有检测用户提交上来的数据,直接将用户提交的数据带入到数据库中查询,导致出现了搜索型的注入漏洞。   在搜索框中输入1',发现页面暴错: 根据暴错页面我们可以得知网站的物理路径和网...