1.针对有单引号的情况 :
2.没有单引号的情况 :
防止查询SQL的攻击,对关键字进行过滤 :
不要以为用了360就可以高枕无忧,直接在netcraft的site_report中找到源站服务器IP,直接SQL脱裤,甚至可获取服务器权限。
但是网站有360保护,没法脱裤,必须想办法绕过:
360网站卫士都是劫持域名进行流量清洗,但是如果源站服务器防护的不好可能存在绕过。于是在
网上搜索,终于在netcraft上找到:
于是直接上sqlmap开炮:
跑出,说明绕过360可以脱裤了。用户为root,还是弱口令。
还可以直接读敏感文件:
隐藏服务器IP,加强网站自身过滤
先达科技为客户提供全方位的安全服务渗透,漏洞扫描,十年网络安全经验,40人团队先达渗透十年互联网安全团队,快速精准发现漏洞,维护数据安全