二次注入簡單介紹
二次注入是通過與數據庫服務器進行交互的過程再次進行注入
比如:登錄註冊賬號密碼,(對於沒有進行過濾sql語句)通過構造playload來進行SQL注入。
註冊一個賬號 :admin’-- -
密碼:123456
最後通過修改賬號密碼,‘admin’-- -(註釋了後面的密碼)
造成在不知道其他用戶admin的情況下可以修改其密碼
實驗環境演示
1、註冊用戶名admin’-- -(後面的-是爲了突出前面的空格,起到了註釋作用)
2、 註冊成功
3、查看註冊源代碼
發現用戶在註冊的時候沒有進行特殊符號過濾,所以再一次說明我們註冊的用戶成功!
4、進行修改密碼(攻擊)
5、查看結果
攻擊成功,在不知道admin用戶的密碼情況下,修改了密碼。攻擊者可以用這個賬號進行登錄,從而造成很大的影響。
6、查看修改密碼的源代碼
可以看到用戶名爲:admin’-- -後面註釋了密碼,造成了在不知道admin用戶密碼的情況下可以修改其密碼。
之後就可以利用這個admin用戶登錄造成信息泄露
總結:以上是自己的學習心得和理解,如果有錯誤,望大佬們指出,小白在進步~