作者:QZ
分析得还可以,如果对这类YY概念一知半解,然后无视PHP的超级全局变量的这种基础特性,我想换了谁都会很无语。<br/><br/>不过Http Parameter Pollution逃避IDS之类确实是不错的思路。
View Article作者:woyigui
呵呵,逃避IDS这个问题,也是一种方法,也就是逃避关键字法了,比如:asp?id=1 an%d 1=(selec%t * form admin) 一样可以突破了。
View Article作者:xy7
呃……我还是觉得这个文章分析的不是HPP。HPP的本质都不是放在程序层面的,这篇文章里的PHP例子和作者的例子展现的都是在HPP之后的行为(CSRF,注入),HPP要是有搞头就必须结合程序的漏洞,所以HPP和程序特性是要分开看的,最后说一句大实话:现在的IDS虽然不是万能的,但是也绝对不像楼主说的那么简单,还关键字呢……呵呵<br/><br/>btw<br/>$q...
View Article作者:QZ
恩 XY7这个说法我不反对,确实是结合其他如XSS、CSRF和SQL注射之类才会出现安全问题。<br/><br/>但是本质还是没有太多的区别,仅仅是绕过一些逻辑上面的防护手段。
View Article作者:gogo
浏览器参数--》根据 PHP、asp等各种程序去选择参数值 -?有点不对吧?我工具看过提交,都提交了!!估计要么是服务器选择,要么是语言特性选项!!<img src="wp-content/bo/emot/fear.gif" border="0" alt="fear" /><img src="wp-content/bo/emot/love.gif" border="0"...
View Article
More Pages to Explore .....