1. 程式人生 > >利用X-Forwarded-For進行sql注入

利用X-Forwarded-For進行sql注入

由於系統一般會採用String ip = request.getHeader("X-Forwarded-For");進行獲取ip,然後注入者就可以通過X-Forwarded-For請求頭資訊就行偽造ip,當然了這個ip也可以是一些注入語句,如下

X-Forwarded-For:payload';WAITFOR DELAY '0:0:5'--
String sql = "select * from table where ip = '"+ip+"'";

那麼我們得到的sql語句就會是這樣

select * from table where ip = payload';WAITFOR DELAY '0:0:5'--'

這樣就容易被人進行sql攻擊,快看一下自己的專案裡面是不是有這樣的獲取ip的方式,有的話如果sql沒有預編譯,那麼肯定可以進行sql注入攻擊