编码型参数注入

一、参数编码原理

代码中对接收的参数进行了解码处理,例如:

$id = base64_decode($_GET['x']);

代码中对传入的参数进行了base64解码处理,因此传入的参数应该是base64编码过的。

二、编码型参数注入

在一些网站中,url中的参数经过了编码,如下图:

这种网站在进行注入的时候,需要将sql语句进行编码。

1
2
原始:12355 order by 27
编码:MTIzNTUgb3JkZXIgYnkgMjc=

1
2
原始:12355 order by 28
编码:MTIzNTUgb3JkZXIgYnkgMjc=

在这里仅做学习测试,不再进一步操作。

文章作者: TechOtaku
文章链接: http://techotaku.me/2018/08/02/编码型参数注入/
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 徒然の博客