分享教程:SQL注入实例教程通过电子邮件格式过滤进行
2019-01-30 10:12
218 查看
版权声明:小勐拉新世界-16606906126的博客www.8842020.com https://blog.csdn.net/qq_38506221/article/details/86699454
首先,我尝试了不带空格的输入:
a@a.com=>有效
“a”@.com =>有效
然后,尝试了带空格的输入:
dimaz arno@test.com =>无效
“dimaz arno”@test.com =>有效
从以上结果我们可以看出,当地址中出现空格将会被过滤,而加了双引号就会被认为是一个完整的字符串则为合法。这符合会话中的RFC 3696邮件检验标准。
但字符 “(“ 和 “)”并不会被阻止,这对于构造sql注入payload非常“有用”。
以下为测试所用payload列表:
通过枚举最终确定数据库字符长度为10。
总结
当你在测试中碰到了一些限制特殊字符的电子邮件过滤器,你可以像我一样尝试在@符之前添加双引号,这可能会帮你绕过过滤机制。
相关文章推荐
- AutoCAD教程--如何进行机械制图格式的新建
- jquery通过select列表选择框对表格数据进行过滤示例
- 在Android Studio中使用shareSDK进行社会化分享(图文教程)
- WEB打印系列教程之二--使用WScript.Shell通过编程方式进行复杂的WEB打印设置
- java--通过DOM方式对xml文件进行读取的简单实例
- 利用hackbar进行sql注入简单实例
- Android客户端与PC服务器通过socket进行交互实例
- 转 winfrom如何通过http来进行通信,并且通过传递json格式的数据可接受json格式的数据
- 通过实例学习Silverlight教程之制作图片特效(一)
- ASP.NET Web API教程 创建Admin控制器实例分享
- 通过实例对一些常用的VMControl&vmtouch命令行进行剖析介绍
- java利用phantomjs进行截图实例教程
- 分享本年度最佳的15个 Photoshop 实例教程
- 怎么生成内部hide接口实例并通过反射作为参数进行传递
- 通过一个实例 Shell的快速入门教程 !
- Linux的内网渗透入门教程:第一节 通过arp欺骗进行网关劫持,截获别人手机的图片(VMware环境)
- python 类对象提供默认行为 实例对象 通过继承进行定制
- oracle和sqlserver在过程sql中通过select对变量进行赋值的区别及实例
- CSS教程(5):通过实例学习CSS背景
- SQL注入过滤源码分享