溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

url編碼的一個小細(xì)節(jié)

發(fā)布時間:2020-06-18 08:29:45 來源:網(wǎng)絡(luò) 閱讀:637 作者:z2pp 欄目:安全技術(shù)

0x00 前言

最近做***測試,大坑沒有,小坑不斷,都是細(xì)節(jié)出了問題才導(dǎo)致的錯誤發(fā)生,今天又遇到了一個小的問題,調(diào)試了一段時間才發(fā)現(xiàn)是編碼問題。。。。所以說細(xì)節(jié)決定成敗阿。。

0x01 問題

筆者在做安全檢測時遇到一處注入,SQLMAP也成功跑出注入
url編碼的一個小細(xì)節(jié)
但當(dāng)筆者使用瀏覽器進(jìn)行手工注入檢測時,卻發(fā)現(xiàn)不存在注入
url編碼的一個小細(xì)節(jié)
url編碼的一個小細(xì)節(jié)
抱著解決問題的心態(tài),使用sqlmap -v 5 來查看具體發(fā)送數(shù)據(jù)包的信息

sqlmap -u "xxxxxxx/xxxx?aaa=xxxx" -v 5

url編碼的一個小細(xì)節(jié)
筆者突然被%25吸引住,頓時明白,在瀏覽器中傳輸時,%并不會被當(dāng)作%傳輸,而%的url編碼值為%25
再次瀏覽器測試,將%替換為%25
url編碼的一個小細(xì)節(jié)

0x02 總結(jié)

細(xì)節(jié)細(xì)節(jié)。。細(xì)節(jié)決定成敗阿,問題本身挺弱智的

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI