您好,欢迎访问代理记账网站
移动应用 微信公众号 联系我们

咨询热线 -

电话 15988168888

联系客服
  • 价格透明
  • 信息保密
  • 进度掌控
  • 售后无忧

SQLi 的例子-2-改变应用的逻辑:一个bypass例子

web应用需要用户输入账号密码,如果应用没有做任何防sqli的处理,可能直接用输入的username跟password组成这么个查询语句,这种场景就非常容易被攻击了

SELECT * FROM users WHERE username = 'wiener' AND password = 'bluecheese'

只要构造个输入达到以下目的即可。获得admin权限,即使在不知道密码的情况下,因为--是注释。这个adminstrator可以是试出来的,也可能是admin

SELECT * FROM users WHERE username = 'administrator'--' AND password = ''

所以登陆输入username = administrator'--

随便输入密码就能实现bypass了


分享:

低价透明

统一报价,无隐形消费

金牌服务

一对一专属顾问7*24小时金牌服务

信息保密

个人信息安全有保障

售后无忧

服务出问题客服经理全程跟进