threehit漏洞复现以及防御

说白了跟sql-liql靶场二次注入一样,也是一个转义函数而这次是,入库的时候不转义,出库的时候会转义导致这个漏洞出现

开始测试:

这是我注册完test刚登录的情况

找注入点更新数据的update,很容易找到在age段

这次我注册的时候用户还是test,但是年龄我对后面进行了省略

可以看到我直接登录到管理员上了

防御:可以进行强转这样无法闭合漏洞也就无法实现了

相关推荐
nnloveswc14 分钟前
PTE-中间件安全
安全
冰水°29 分钟前
3.1_文件上传漏洞
安全·网络安全·文件上传·条件竞争·.htaccess·文件上传绕过
ZJ_.1 小时前
Electron 沙盒模式与预加载脚本:保障桌面应用安全的关键机制
开发语言·前端·javascript·vue.js·安全·electron·node.js
Wh1teR0se2 小时前
[ACTF2020 新生赛]Upload 1--详细解析
web安全·网络安全
星海幻影2 小时前
网络基础-超文本协议与内外网划分(超长版)
服务器·网络·安全
烬奇小云2 小时前
认识一下Unicorn
android·python·安全·系统安全
Sweet_vinegar4 小时前
Wireshark
网络·测试工具·安全·wireshark·ctf·buuctf
23zhgjx-NanKon6 小时前
华为eNSP:RSTP
网络·安全·网络安全·华为
javachen__10 小时前
从美国大选,看软件安全风险与挑战
网络·安全·web安全