threehit漏洞复现以及防御

说白了跟sql-liql靶场二次注入一样,也是一个转义函数而这次是,入库的时候不转义,出库的时候会转义导致这个漏洞出现

开始测试:

这是我注册完test刚登录的情况

找注入点更新数据的update,很容易找到在age段

这次我注册的时候用户还是test,但是年龄我对后面进行了省略

可以看到我直接登录到管理员上了

防御:可以进行强转这样无法闭合漏洞也就无法实现了

相关推荐
黑客KKKing13 分钟前
网络安全-企业环境渗透2-wordpress任意文件读&&FFmpeg任意文件读
安全·web安全·ffmpeg
weixin_399380691 小时前
tongweb安全整改
安全·web安全
humors2211 小时前
阿里云ECS服务器监控报警配置
运维·服务器·安全·阿里云·云计算
小扎仙森1 小时前
宝塔安装雷池网站防护
安全
小林熬夜学编程2 小时前
【Linux系统编程】第五十弹---构建高效单例模式线程池、详解线程安全与可重入性、解析死锁与避免策略,以及STL与智能指针的线程安全性探究
linux·运维·服务器·c语言·c++·安全·单例模式
Linux运维老纪2 小时前
交换机配置从IP(Switch Configuration from IP)
linux·服务器·网络·安全·运维开发·ip
vortex53 小时前
渗透的本质是信息收集——一点思考
安全·web安全·渗透·信息收集
程序猿阿伟3 小时前
《进程隔离机制:C++多进程编程安全的坚固堡垒》
服务器·c++·安全
惯师科技3 小时前
TDK推出第二代用于汽车安全应用的6轴IMU
人工智能·安全·机器人·汽车·imu
bluetata5 小时前
【云计算网络安全】解析 Amazon 安全服务:构建纵深防御设计最佳实践
安全·web安全·云计算·aws·亚马逊云科技