【新手入门】SQL注入之伪静态注入

最新推荐文章于 2025-04-11 14:29:39 发布
最新推荐文章于 2025-04-11 14:29:39 发布
阅读量707 收藏 4
点赞数 7
文章标签: sql 前端 web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2401_89344791/article/details/145839656
版权

伪静态注入

一、概念

看似为静态页面,实则为动态页面,就称之为伪静态页面,而伪静态页面的注入就叫做伪静态注入。

通过url区分静态、动态、伪静态
动态:(有数据交互)
http://192.168,0,26/pikachu/vu1/sg1i/sgli_str.php?name=vince&submit=%E6%9F%A5%E8%AF%A2

https://search,id.com/search?Keyword=%E6%89%8B%E6%9C%BA&WG=%E6%89%8B%E6%9C%BA&eV=5 122671%5E

静态:(没有数据交互(不能搜索、评论))
http://127.0.0.1:8000/jaden/index.htm1
http://127.0.0.1:8000/jaden/person.htm1

伪静态:
http://127.0.0.1:8000/jaden/1/wei_news .htm1
http://127.0.0.1:8000/jaden/news/1.htm1

二、静、动态网站区别

静态网站

定义:静态网站是由纯HTML文件组成,这些文件在服务器上已经预先生成好,用户请求时直接返回给客户端。
特点:
内容固定,不随用户交互而变化。生成后不需服务器端处理,直接返回给客户端。
通常用于展示固定信息,如个人简历、公司介绍等。

性能:通常更好,因为服务器只需要提供静态文件,没有复杂的后端处理。

安全性:相对更安全,因为没有后端逻辑和数据库,攻击面较小。

动态网站

定义:动态网站的内容是在用户请求时由服务器端生成的,可以根据用户的请求和输入生成不同的内容。
特点:
内容可以随用户交互而变化。(不安全原因)
需要服务器端处理,通常涉及后端编程语言(如PHP、Python、Node.js等)和数据库。
适用于需要频繁更新或个性化内容的场景,如电子商务、社交网络、博客等。

性能:相对较差,因为每次请求都需要后端处理,可能会有延迟。
安全性:较低。动态网站需要更多的安全措施,如防止SQL注入、XSS攻击等,因为涉及到后端逻辑和数据库。

后缀:.php  .asp  .jsp  .action  .do...

三、原理

 将动态网页的id等参数通过URL重写来隐藏,让查看者以为是静态网页,以降低被攻击的风险。展示出来的是以html一类的静态页面形式,但其实是用PHP一类的动态脚本来处理的。

重定向跳转,访问A网址,自动跳转为B网址。

四、辨别伪静态注入的网站

伪静态一般URL地址格式:
 1. http://XX.com/php100/id/1/1
 2. http://XX.com/php100/id/1.html
非伪静态一般URL地址格式:
  http://XX.com/php100/test.php?id=1

伪静态是一种URL重写的技术,从而达到隐藏传递的参数以及从而达到防止SQL注入的目的。
如果看到一个以.html或者.htm结尾的网页,此时可以通过在控制台(F12或者Fn+F12)中输入:

           javascript:alert(document.lastModified)


来得到网页最后的修改时间,如果得到的时间和现在时间一致,此页面就是伪静态,反之是真静态;因为动态页面的最后修改时间总是当前时间,而静态页面的最后修改时间则是它生成的时间。

见青..
关注
【漏洞挖掘】——25、XXE靶机实践测试
Fly_鹏程万里
03-08 8674
Haboob团队根据https://www.exploit-db.com/docs/45374发表的论文"XML外部实体注入-解释和利用"制作了这个虚拟机以利用私有网络中的漏洞,我们希望你喜欢这个挑战!
Web安全-伪静态网页
道阻且长,行则将至
02-02 3138
初步认识 “伪静态”顾名思义就是一种表面上看似是静态网页(以.html、.htm等结尾),不存在任何的数据交互,却其实是动态网页,存在数据交互的网站,具有这种特性的网页被称为“伪静态网页”。我们看到的伪静态网页其实是经过处理的,将动态网页的id等参数通过URL重写来隐藏,让查看者以为是静态网页。 在平时的测试过程中我们经常会看到这样一类奇特的地址:http://xxx.xxx.xx.xx:xxx/...
干货!一次伪静态页面的SQL注入!白帽黑客实战 。
m0_60571990的博客
11-22 885
干货!一次伪静态页面的SQL注入!白帽黑客实战 。
SQL注入漏洞全面解析
最新发布
m0_66872110的博客
04-11 1048
SQL注入SQL Injection)是一种常见的Web安全漏洞,攻击者通过在用户输入中插入恶意的SQL代码,从而操纵后端数据库查询,获取、修改或删除数据库中的数据。SQL注入漏洞的产生通常是由于开发者在编写代码时,未对用户输入的数据进行充分的过滤和验证,直接将用户输入拼接到SQL查询语句中。示例如果攻击者在用户名输入框中输入admin' --这里的--是SQL中的注释符号,意味着后面的被注释掉了,攻击者可以绕过密码验证直接登录。
伪静态sql注入
p_utao的博客
09-17 3118
伪静态是什么 伪静态是相对真实静态来讲的,通常我们为了增强搜索引擎的友好面,都将文章内容生成静态页面,但是有的朋友为了实时的显示一些信息。或者还想运用动态脚本解决一些问题。不能用静态的方式来展示网站内容。但是这就损失了对搜索引擎的友好面。怎么样在两者之间找个中间方法呢,这就产生了伪静态技术。伪静态技术是指展示出来的是以html一类的静态页面形式,但其实是用ASP一类的动态脚本来处理的。 伪静态验证 既然,我们了解什么是伪静态后,那么我们怎么判断一个网站是静态还是伪静态的呢? 首先我们可以根据网站最后的修
SQL注入之——伪静态注入
weixin_41657031的博客
07-15 2507
1.什么是伪静态注入? 答:“伪静态”顾名思义就是一种表面上看似是静态网页(以.html、.htm等结尾),不存在任何的数据交互,却其实是动态网页,存在数据交互的网站,具有这种特性的网页成为“伪静态网页”。我们看到的伪静态网页其实是经过处理的,将动态网页的id等参数通过URL重写来隐藏,让查看者以为是静态网页。展示出来的是以html一类的静态页面形式,但其实是用PHP一类的动态脚本来处理的。 2....
伪静态注入
Sud0day的博客
03-13 1740
伪静态网站注入方法,通常情况下,动态脚本的网站的url类似下面这样: http://www.91ri.org/news.php?id=111 做了伪静态之后就成这样了: http://www.91ri.org/news.php/id/111.html 以斜杠“/”代替了“=”并在最后加上.html,这样一来,就无法直接用工具来注入了。 常规的伪静态页面如下: http://www.XXX.com/...
基于原生php实现的商城管理系统(后端和前端),适合新手入门操练.zip
07-23
今天我们将深入探讨一个基于原生PHP实现的商城管理系统,这不仅是一个适合新手入门操练的项目,也是学习PHP Web系统开发的良好实践。 首先,让我们了解这个系统的结构和功能。一个完整的商城管理系统通常包括用户...
JSP20技术手册:新手入门必备之经典读物
- **安全最佳实践**:解释如何在JSP开发中确保Web应用程序的安全性,包括防止常见的安全威胁,如SQL注入、跨站脚本攻击(XSS)等。 - **整合其他技术**:讨论如何在JSP中整合其他技术,例如如何使用JSP访问JDBC...
白盒审计新手入门与操作讲解
8. 安全审计与合规性:理解白盒审计在软件安全性方面的作用,学习如何识别和测试常见的安全漏洞,比如SQL注入、跨站脚本攻击(XSS)、跨站请求伪造(CSRF)等,并确保软件符合相关的安全和合规性标准。 9. 持续集成...
PHP新手入门教程:从零基础到掌握基础技能
新手应该掌握基本的安全编程原则,如输入数据验证和清理、避免安全漏洞如SQL注入、跨站脚本攻击(XSS)和跨站请求伪造(CSRF)。了解安全框架和最佳实践将有助于提升代码的安全性。 学习资源与社区支持 PHP的教程...
PHP 5.3编程源码:新手入门与实践
这包括数据过滤、防止SQL注入、XSS攻击、CSRF攻击等。学习如何编写安全的代码可以保护应用免受攻击。 #### 标签与知识点 “php”和“PHP 5.3入门经典”标签表明文件与PHP语言的学习有关,特别是针对PHP 5.3版本的...
【转载】伪静态SQL注入
08-27 278
伪静态,主要是为了隐藏传递的参数名,伪静态只是一种URL重写的手段,既然能接受参数输入,所以并不能防止注入。目前来看,防止注入的最有效的方法就是使用LINQ。常规的伪静态页面如下:http://www.2cto.com /play/Diablo.html, 在看到之前先要确定这个页面是静态还是伪静态,鉴别方法很多。 例如关联的动态页面是game.php ,那么当用户访问后程序会自动转换成...
sql 时间相减_SQL注入伪静态注入
weixin_39922642的博客
12-09 217
一、伪静态介绍0x01 什么是伪静态页面 "伪静态"顾名思义就是一种表面上看似是静态网页(比如以.html、.htm等结尾),看似不存在任何的数据交互,却其实是动态网页,存在数据交互的网站,具有这种特性的网页被称为伪静态网页。我们看到的伪静态网页其实是经过处理的,将动态网页的id等参数通过URL重写来隐藏,让查看者以为是静态网页。0x02 伪静态页面原理对于很多网站来...
sql注入之mysql数据库 sqlmap工具 伪静态注入 注入防御
weixin_46476861的博客
03-03 2945
python2和python3互不兼容,SqlMap是基于python2的,用2.7或之前的,所以SqlMap不支持python3 -u –level –risk -v 在包里参数进行测试语句 -m –mobile app通过抓包能得到url,但是不能在电脑地址栏里转到,所以需要模拟手机 -batch-smart 注入过程不需要在选择y或者n ctrl+c取消暴力破解 -r -p -threads 数据库外围命令
渗透测试:sqlmap伪静态注入与携带cookie登录认证注入
热门推荐
foryouslgme的博客
10-10 2万+
sqlmap伪静态注入与携带cookie登录认证注入
伪静态&搜索注入
m0_71366428的博客
12-15 916
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行指定的SQL语句。
安鸾渗透实战平台(sql注入伪静态&搜索注入 (100分)
weixin_50985113的博客
02-08 593
安鸾渗透实战平台sqlmapbp。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值