码迷,mamicode.com
首页 > Web开发 > 详细

二次urldecode注入

时间:2019-09-18 19:42:48      阅读:152      评论:0      收藏:0      [点我收藏+]

标签:real   raw   成功   strong   string   程序   cape   str   用户   

原理
大多数web程序都会对输入字符进行转换,例如addslashes(),mysql_real_escape_string(),
mysql_escape_string(),也就是对单引号‘,双引号",NULL,反斜杠\进行转义,但是如果程序中存在
urldecode()或者rawurldecode()的话就会出现问题。
当用户传入值时,程序会自动对字符进行一次urldecode,如果程序又进行一次urldecode(),就会出现二次注入,例如?id=1%2527,第一次自动解码为?id=1%27,再进行一次urldecode()变成?id=1‘
成功绕过

漏洞挖掘关键字
rawurldecode()
urldecode()

二次urldecode注入

标签:real   raw   成功   strong   string   程序   cape   str   用户   

原文地址:https://www.cnblogs.com/cimuhuashuimu/p/11544508.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!