报错注入的条件:
页面有回显信息。
盲注:
实际工作中的盲注一般不采用手工注入的方式,都直接用工具跑即可。
Stack query注入:
又称多语句注入,利用分号将前面进行闭合,后面就可以进行增删改查等操作。
可能存在注入漏洞的地方:
1.参数:
参数名和参数值
例如:
url可能会调用select id查询语句。
url可能会调用insert参数直接插入数据库中。
更改密码可能会调用update参数。
2.利用burpsuite抓包修改http头header,cookie和referer等都可以进行注入。
1》请求方法
2》访问的主机的IP
3》客户端浏览器的信息
4》可接受文本类型
5》可接受文本语言
6》可接受文本编码
7》请求来源
8》传递内容类型
9》传递内容长度
10》保持活性
cookie注入漏洞普遍存在于ASP的程序中。