随着 网络安全 技术的发展,SQL 注入作为一种很流行的攻击方式被越来越多的人所知晓。很
多网站也都对SQL 注入做了防护,许多网站管理员的做法就是添加一个防注入程序。这时我
们用常规的手段去探测网站的SQL 注入 漏洞 时会被防注入程序阻挡。遇到这种情况我们该怎
么办?难道就没有办法了吗?答案是否定的。我们知道,一般的防注入程序都是基于[黑名
单]的,根据特征字符串去过滤掉一些危险的字符。一般情况下我们认为黑名单是不安全的,
它存在被绕过的风险。比如有的防注入程序只过滤了通过GET、POST 方式提交的数据,对通
过Cookie 方式提交的数据却并没有过滤,这时我们该怎么办?在本文你将会找到答案。
Cookie 背景介绍
Cookie 最先是由Netscape(网景)公司提出的,Netscape 官方文档中对Cookie 的定义
是这样的:Cookie 是在HTTP 协议下,服务器或脚本可以维护客户工作站上信息的一种方
式。
Cookie 的用途
Cookie 的用途非常广泛,在网络中经常可以见到Cookie 的身影。它通常被用来辨别用户身
份、进行session 跟踪,最典型的应用就是保存用户的帐号和密码用来自动登录网站和电子
商务网站中的[购物车]。
Cookie 注入原理
Cookie 注入简单来说就是利用Cookie 而发起的注入攻击。从本质上来讲,Cookie 注入与传
统的SQL 注入并无不同,两者都是针对 数据库 的注入。只是表现形式上略有不同罢了。
查看更多关于Cookie注入详细介绍 - 网站安全 - 自学php的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did14631