RDot

RDot (https://rdot.org/forum/index.php)
-   Сервисы, БД, Серверы/Network services, Databases, Servers (https://rdot.org/forum/forumdisplay.php?f=23)
-   -   SQLi и UTF-7 (https://rdot.org/forum/showthread.php?t=4409)

leyka 22.12.2017 08:32

SQLi и UTF-7
 
Предлагаю обсудить обход фильтров с помощью UTF-7
Если честно, я сам до конца не могу понять.
То что уяснил: если в хидере ответа WEB-сервера отсутствует кодировка, а-ля

Content-Type: text/html; charset=utf-8

то возможен обход фильтров путем отсылки к примеру

Цитата:

POST /login.php HTTP/1.1
HOST ...
Content-Type: application/x-www-form-urlencoded; charset=UTF-7
....
тут параметры запроса в кодировке UTF-7
1. Правильно ли я это понимаю?
2. Не могу найти, как кодировать в UTF-7 нужные параметры в sqlmap. Это через --eval нужно делать?

У кого есть опыт эксплуатации подобного, поделитесь пожалуйста знаниями.

Beched 22.12.2017 11:25

1. Никакой связи не вижу
2. UTF-7 будет работать, только если приложение понимает UTF-7 и конвертирует в нужную кодировку (или соединение с SQL тоже с этой кодировкой).


Часовой пояс GMT +3, время: 11:25.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot