Старый 22.12.2017, 08:32   #1
leyka
 
Регистрация: 07.12.2017
Сообщений: 11
Репутация: 0
По умолчанию SQLi и UTF-7

Предлагаю обсудить обход фильтров с помощью UTF-7
Если честно, я сам до конца не могу понять.
То что уяснил: если в хидере ответа WEB-сервера отсутствует кодировка, а-ля

Content-Type: text/html; charset=utf-8

то возможен обход фильтров путем отсылки к примеру

Цитата:
POST /login.php HTTP/1.1
HOST ...
Content-Type: application/x-www-form-urlencoded; charset=UTF-7
....
тут параметры запроса в кодировке UTF-7
1. Правильно ли я это понимаю?
2. Не могу найти, как кодировать в UTF-7 нужные параметры в sqlmap. Это через --eval нужно делать?

У кого есть опыт эксплуатации подобного, поделитесь пожалуйста знаниями.
leyka вне форума   Ответить с цитированием
Старый 22.12.2017, 11:25   #2
Beched
 
Регистрация: 06.07.2010
Сообщений: 396
Репутация: 118
По умолчанию

1. Никакой связи не вижу
2. UTF-7 будет работать, только если приложение понимает UTF-7 и конвертирует в нужную кодировку (или соединение с SQL тоже с этой кодировкой).
Beched вне форума   Ответить с цитированием
Ответ

Метки
sql injection, sqli, utf-7

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot