HTTP参数污染注入源于网站对于提交的相同的参数的不同处理方式导致。
例如:
www.XX.com/a?key=ab&key=3
如果服务端返回输入key的值,可能会有
一: ab
二:3
三:ad3
这三种不同的方式。
具体服务端处理方式如下:
| Web服务器 | 参数获取函数 | 获取到的参数 |
| PHP/Apache | $_GET(“par”) | Last |
| JSP/Tomcat | Request.getParameter(“par”) | First |
| Perl(CGI)/Apache | Param(“par”) | First |
| Python/Apache | Getvalue(“par”) | All(List) |
| ASP/IIS | Request.QueryString(“par”) | All(comma-delimited string) |
假设输入www.xx.com/a?key=select&key=1,2,3,4 from table
服务端有可能会将key处理为select 1,2,3,4 from table,从而导致SQL注入。
转载于:https://www.cnblogs.com/MiWhite/p/6209385.html
最后
以上就是能干饼干最近收集整理的关于学习笔记 HTTP参数污染注入的全部内容,更多相关学习笔记内容请搜索靠谱客的其他文章。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
发表评论 取消回复