切换风格

Wizard Sky California Sunset glow Black Cloud Beige Dragon Lavender NewYear City Snow Flowers London
收藏本站XSS平台字符串转换jsfuck
关于method[复制链接]
发表于 2012-11-8 16:58:02 | 显示全部楼层 |!read_mode!
  我学的时候学了method了  就是post和get  但是我老是会弄混 印象不深刻。
    我想让你以你编程多年的经验, 以一种直观好理解的方式给我总结讲一下- - 让我一下就能记住。  再也忘不掉。

   因为我对post注入和普通注入老是弄混。  

   咱们浏览网站上get方式吧?   还是post


发表于 2012-11-10 17:57:08 | 显示全部楼层
亲爱的  不好意思刚看到帖子~~~~

表单提交一般都是POST也就是method="post" 这样指定下;
分辨的时候你可以只记住一点:
如果传递的参数(不管是post或get总要传递参数给目的地址)在浏览器的URL框中能看到就是get,POST是看不到的,只能看到表单中action的值(目的地址);


另外还有一种特殊的情况就是页面无刷新互动效果(AJAX实现的)传递参数也分get和post都是在浏览器的URL框中看不到的;这种情况下的注入漏洞我一律把他归为POST型,因为菜逼的我需要打开  burpsuite 或 fiddler 的代理功能才能截获和修改参数才测试,不知道你有没有更便捷的路子测试?;

现在能缕清了吗亲?
发表于 2012-11-10 19:50:49 | 显示全部楼层
admin 发表于 2012-11-10 17:57
亲爱的  不好意思刚看到帖子~~~~

表单提交一般都是POST也就是method="post" 这样指定下;

  http://www.3g-sec.com/forum.php? ... &page=1#pid1033
  这就是属于get是吧。  我感觉我好像明白了。  我得回去慢慢屡一律    burp  我还没玩明白呢。  

   就截获post数据我都研究了一上午才明白怎么设置= =   很汗颜啊很汗颜
发表于 2012-11-10 20:03:01 | 显示全部楼层
嗯 是的亲。
关于burpsuite
论坛有几篇专讲使用的文章了


256 XSS扫描:burpsuite
http://www.3g-sec.com/thread-609-1-1.html



243 PHP文件包含漏洞 burpsuite
http://www.3g-sec.com/thread-385-1-1.html


215 Brup Suite应用分享之Web漏洞扫描
http://www.3g-sec.com/thread-337-1-2.html

还有两个和sqlmap一块讲的你自己搜索吧

傻逼你有点懒啊   我不爱你了{:2_38:}

操千曲而后晓声,观千剑而后识器。
发表于 2012-11-10 20:39:20 | 显示全部楼层
admin 发表于 2012-11-10 20:03
嗯 是的亲。
关于burpsuite
论坛有几篇专讲使用的文章了

   不是- -  Linux msf我有点看不下去了 但是一跳着看我就有种感觉失去头了的感觉。  就光挑感兴趣的看。  不行还是得从头看啊  msf也得学啊
   刚才刚好看了一节php的视频教程 我看到 php的表单与验证了。  讲的是  $_POST  $_GET 全局变量。
  开头他又讲了下 这两种发送方式 so  我懂了

代码区

GMT+8, 2020-12-3 15:48

Powered by Discuz! X2

© 2001-2018 Comsenz Inc.

回顶部