SQL注入之cookie注入
cookie注入:
ASP环境:
在火狐浏览器中安装cookie插件
比如在代码层过滤了GET,POST请求方式中的参数可以中cookie注入
如:GET中x.asp?id=1’,x.asp?id=1 and 1=1提示非法参数情况,可以再cookie中进行尝试,在cookie中把?号后面的参数复制下来,写到cookie中,在url地址中删除ASP后面的所有参数访问即可,如cookie中:名字为id,内容为1,测试注入内容添加’或则and 1=2
注意:网站必须要用request接收参数是才可行。
PHP环境:
在火狐浏览器中安装cookie插件
1.一般存在于登入后的cookie中,如网站有用户注册的页面,可以先注册用户再进行测试。
2.在cookie中找到所有cookie值,找到字符或则数字型的
3.之后面添加单引号或双引号或者and 1=2 或则order by
4.在所有cookie中的进行测试,找到能让程序报错的即可判断为注入点,即可在该cookie中进行sql语句执行。
注意:php环境中不可用asp环境那种cookie注入方式。