sql杂谈
绕waf:+代替空格,current_user代替user(),+号拼接
找sql注入点,bool和int类型,substring和exp的对应测试
信息收集流程
1.拿到靶标,百度,google,bing搜一便,主站不好过找供应链
2.找到技术支持公司,通过js或者图标搜索对应资产
3.host替换批量注入测试
绕waf:+代替空格,current_user代替user(),+号拼接
找sql注入点,bool和int类型,substring和exp的对应测试
1.拿到靶标,百度,google,bing搜一便,主站不好过找供应链
2.找到技术支持公司,通过js或者图标搜索对应资产
3.host替换批量注入测试