原理
图解
实例解析原理
user_id='1''查询报错
user_id='1\''正确查询
二次注入代码审计
黑盒测试下的二次注入
实战1:修改目标账户密码
前置要求,现在我们有一个目标账号hudongyang
但是我们不知道他的密码,怎么办呢,可以利用二次注入
这是hudongyang的账号
账号hudongyang密码123456789
我们登录
登录成功
这时,我们再创建一个hudongyang'#账号
密码为111111
这时我们登录hudongyang'#的账号修改他的密码
将它的密码改为222222
密码更新成功
这时,我们更新的其实是hudongyang的密码
我们利用密码222222登录hudongyang账号
登录成功!!!
这就是二次注入!
hudongyang'#的密码没变
登录成功
从用户角度来说,这个账户的密码永远不会被修改的