黑客X档案官方论坛 » 编程魔方 » 自己写注入点检测工具（有兴趣的讨论讨论）

lanhulove 发表于 2008-4-28 20:53

自己写注入点检测工具（有兴趣的讨论讨论）

自己写注入检测工具
有没有有兴趣的一起来练练手，一起学习进步
任何语言都行，主要是思想
我用delphi实现

[[i] 本帖最后由 lanhulove 于 2008-4-28 21:30 编辑 [/i]]

610548422 发表于 2008-4-28 21:37

没写过，不好讲


讲讲我的猜想
就是访问网页，看返回吧

yofx 发表于 2008-4-28 23:14

可以参照那个手动注入的文章写写。

lanhulove 发表于 2008-4-29 09:26

回复 3# 的帖子

没写之前我也是觉得按手工注入那样，很简单，但是一开始写之后就有问题了

我主要对返回的代码的判断上有疑惑
and 1＝1和and 1＝2返回的代码
1.对比两次返回的代码是否相同行不同（因为代码中可能含有时间变量，时刻在变化）
2.对比两次返回的代码的长度（动态网页，这也是有可能变化的）
3.关键字（各个页面的关键字都是不同的）

不知道有什么好的解决方法没有

610548422 发表于 2008-4-29 18:08

可以分析类似注入工具的代码

wander 发表于 2008-4-29 20:35

可以查看返回的HTTP状态码，200表示正常，500表示错误
在返回的数据中查找200/500,判断是否可能存在注入点

lanhulove 发表于 2008-4-30 15:27

回复 6# 的帖子

恩，这也是一个办法。。。

hkhkcaicai 发表于 2008-4-30 18:25

难到C++都是算法嘛。。。。。。。。。。。。。。

lanhulove 发表于 2008-5-4 08:19

回复 8# 的帖子

我个人认为算法，思想更重要

memecha 发表于 2008-5-4 11:43

回复 1# 的帖子

我也用VC写个吧，，，呼呼。。大家切磋撒

lanhulove 发表于 2008-5-4 19:09

回复 10# 的帖子

恩，交流交流    ::05:: ::05:: ::05:: ::05::

我爱大饼 发表于 2008-5-6 08:37

得了把，想学啊D？！写这个要几千条SQL查询语句，SQL要好才行。
思想我有，但是转换不了程序语言，能力有限没办法。
1。在啊D的基础上加OR查询
2再加COOKIES注射
3，加URL转换编码，或16进制
4加XSS检测更加好

查看完整版本: 自己写注入点检测工具（有兴趣的讨论讨论）