htaccess文件解析漏洞和利用Tamper绕过防注入代码

59 阅读 0 评论 39 点赞

我是靠谱客的博主明理小熊猫，最近开发中收集的这篇文章主要介绍htaccess文件解析漏洞和利用Tamper绕过防注入代码，觉得挺不错的，现在分享给大家，希望可以做个参考。

（一）htaccess文件解析漏洞

Apache中当上传到文件全部被解析为,jpg的后缀时。可以尝试一下后缀为htaccess的文件，代码如下

AppType application/x-httpd-php .jpg

代码的含义是将上传的文件后缀名为.jpg格式的文件以 php格式来解析文件

一般黑名单验证的上传成功几率比较大，白名单什么的并无卵用，先上传这样一个后缀为htaccess的文件，在上传一个.jpg的一句话，这样即使上传的一句话后缀为jpg依然可以连接一句话。

（二）利用Tamper绕过防注入代码

现在的网站除了一些垃圾站之外基本都会有防注入，简单的就是屏蔽掉 ' and or order等等常见的注入词，提示说用户的内容含有非法字符。这时可以使用Sqlmap的Tamper来尝试绕过防注入代码。

具体方法还是看百度提供的技术支持吧qrz....

如果觉得靠谱客网站的内容还不错，欢迎将靠谱客网站推荐给程序员好友。

本图文内容来源于网友提供，作为学习参考使用，或来自网络收集整理，版权属于原作者所有。