HTTP Headers 与 SQL注入的关系
理论上,一切HTTP Headers都是可以注入的,前提是服务端获取客户端HTTP Headers的数据,不做过滤就插入SQL语句里使用;
常见的HTTP Headers注入参数
SQLmap支持如下Headers的注入;
-
User-Agent
-
Cookie
-
X-Forwarded-For
X-Forwarded-For是用于记录代理信息的,每经过一级代理(匿名代理除外),代理服务器都会把这次请求的来源IP追加在X-Forwarded-For中
来自4.4.4.4的一个请求,header包含这样一行:
X-Forwarded-For: 1.1.1.1, 2.2.2.2, 3.3.3.3 -
Rerferer