SQLi и UTF-7

leyka · 22.12.2017, 08:32

Предлагаю обсудить обход фильтров с помощью UTF-7
Если честно, я сам до конца не могу понять.
То что уяснил: если в хидере ответа WEB-сервера отсутствует кодировка, а-ля

Content-Type: text/html; charset=utf-8

то возможен обход фильтров путем отсылки к примеру

Цитата:

POST /login.php HTTP/1.1
HOST ...
Content-Type: application/x-www-form-urlencoded; charset=UTF-7
....
тут параметры запроса в кодировке UTF-7

1. Правильно ли я это понимаю?
2. Не могу найти, как кодировать в UTF-7 нужные параметры в sqlmap. Это через --eval нужно делать?

У кого есть опыт эксплуатации подобного, поделитесь пожалуйста знаниями.

Beched · 22.12.2017, 11:25

1. Никакой связи не вижу
2. UTF-7 будет работать, только если приложение понимает UTF-7 и конвертирует в нужную кодировку (или соединение с SQL тоже с этой кодировкой).

22.12.2017, 11:25	#2
Beched Регистрация: 06.07.2010 Сообщений: 402 Репутация: 118	1. Никакой связи не вижу 2. UTF-7 будет работать, только если приложение понимает UTF-7 и конвертирует в нужную кодировку (или соединение с SQL тоже с этой кодировкой). __________________ Current: Penetration Testing, Application Security === Old: Заметки о взломе ; проверка на уязвимости A hack CTF

Опции темы	Поиск в этой теме
Версия для печати Отправить по электронной почте	Поиск в этой теме: Расширенный поиск
Опции просмотра
Линейный вид Комбинированный вид Древовидный вид